Akamai meldt actief misbruik van XSS-lek in WordPress Custom Fields plug-in
Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen.
Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren.
Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait.
Gewoon geen WordPress gebruiken... :)
Feitelijk gaat het hier om PHP gerelateerde CMS in handen van lieden,
die de noodzaak van goed website onderhoud en -beveiliging volgens best policies niet voldoende inzien.
Dan kun je dus wachten op deze narigheid, cybercriminelen wachten slechts in de digitale schaduw.
Ken je dat liedje nog van de Stones?
Is de site goed geconfigureerd en onderhouden, fully updated and patched, geen probleem,
zeker niet als die zo in de cloud gehangen is.
Maar ja verkeerde zuinigheid van de chef, die er die risico's pas van inziet bij of na een incident.
Beknibbelen op veiligheid en liever eindgebruikers in gevaar brengen en uiteindelijk de eigen toko.
Het zou verboden moeten worden, maar dat is het helaas niet.
Let-op-Beun-de-Haas
Gewoon geen WordPress gebruiken... :)
Lekker WordPress bashen, terwijl het duidelijk aan de plug-ins ligt. :-(
Gewoon geen WordPress gebruiken... :)
Een patch binnen twee dagen is daarnaast zeer netjes.Wat niet netjes is dat één dag na de patch is vrijgegeven Patchstack met een PoC kwam. Één dag voor patchen is een rushjob voor meeste zaken als je niet blindelings een patch doorvoert dat is. Test omgeving maken functionaliteiten controleren vervolgens terug zetten naar live. Hadden ze een een weekje gewacht met de PoC dan was de impact lager geweest. Zeker omdat er voor de PoC geen indicatie was dat er attacks in the wild waren.Patchstack heeft het de criminelen dus makkelijk gemaakt.
Dan nog hebben we ook te maken met simpelweg lakse beheerders als we kijken naar de statistics van ACF 6.1 serie 31,5% en ACF 6.00, 20,4 % houdt in dat 48,1% naar verwachting geen actie gaat ondernemen. Kortom ga maar uit van ongeveer 1 miljoen kwetsbare sites die dat nog wel even blijven.
Gewoon geen WordPress gebruiken... :)
WordPress plugins**
En overigens zij dit eigenlijk dingen waar je blij mee moet zijn. Deze worden bij een standaard instalatie gewoom automatisch geupdate. Hey grootste probleem zit hem in plugins die unmaintained zijn en developers die denken dat automatiche update uit moeten staan.
Gewoon geen WordPress gebruiken... :)
Gewoon geen WordPress gebruiken... :)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.