200.000 WordPress-sites lopen risico door aangevallen zeroday in plug-in
Meer dan 200.000 WordPress-sites lopen vanwege een actief aangevallen zerodaylek risico om door aanvallers te worden overgenomen. Een beveiligingsupdate voor de kritieke kwetsbaarheid in de Ultimate Member-plug-in is nog niet beschikbaar. Beheerders wordt dan ook aangeraden om de plug-in direct uit te schakelen, zo stelt securitybedrijf Wordfence.
Ultimate Member is een "profile & membership" plug-in waarmee WordPress-sites gebruikers en abonnementen kunnen beheren, bijvoorbeeld voor online communities. Zo is het mogelijk om bepaalde content alleen voor betalende gebruikers beschikbaar te maken. De plug-in is volgens cijfers van WordPress zelf op meer dan 200.000 websites actief.
Een kritieke kwetsbaarheid in de plug-in (CVE-2023-3460) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zich als beheerder te registreren en zo volledige controle over de website te krijgen. Het probleem doet zich voor bij het registratieformulier van de plug-in. In dit formulier blijkt het mogelijk om bepaalde waardes voor het te registreren account te wijzigen. Het gaat onder andere om de "wp_capabilities" waarde, die de rol van de gebruiker op de website bepaalt.
De plug-in staat niet toe dat gebruikers deze waarde opgeven, maar dit filter blijkt eenvoudig te omzeilen waardoor het toch mogelijk is om wp_capabilities te wijzigen en zo beheerder te worden. Een update is zoals gezegd niet beschikbaar. Gebruikers wordt dan ook opgeroepen de plug-in te verwijderen totdat een patch beschikbaar is. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Wordpress zelf valt nog mee maar die plug-ins die elke wannabe developer maakt maken het zo lek.
Je moet maar hopen dat de schrijver van het prutswerk nog zin heeft om een update te maken.
Als je nog BETER kijkt, zie dat het nagenoeg altijd de plugin's zijn, die problemen geven, niet WordPress zelf.
Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
Alle CMS werken met plug-ins. Servers bevatten plug-ins. Je PC bevat plug-ins, je telefoon heeft plug-ins.
Het heeft elke keer een ander naampje plug-in, addon, module extension, library, maar het komt op het zelfde neer software dat functies toevoegd op bestaande applicaties.
Zelfs al zou je alle plugins in de back-end van Wordpress uitschakelen dan nog heeft het intern bundled plug-ins want anders werkt het niet. exif, fileinfo, hash, json, mbstring, pcre succes om zonder die Wordpress te runnen.
Nog even los van wat een server wel niet voor plug-ins tegenwoordig moet hebben om veilig te kunnen opereren via het internet.
Dus nee het probleem is niet plug-ins nog het CMS het is het niet auditten, onderhouden, afschermen en de gebrek van kennis ervan.
Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
Het is dus gewoon een vergiet..
Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
Het is dus gewoon een vergiet..
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.