Een kritieke kwetsbaarheid in een betaalde plug-in voor WordPress met meer dan 30.000 installaties maakt het mogelijk voor aanvallers om administrator te worden. De ontwikkelaars van Tutor LMS Pro hebben een update uitgebracht om het probleem te verhelpen. Tutor LMS Pro is een plug-in voor het aanbieden van eLearning-cursussen via WordPress-sites.
De plug-in biedt onder andere de mogelijkheid om via een account van bijvoorbeeld Facebook of Google in te loggen. Op basis van een token dat door Google of Facebook wordt verstrekt en het e-mailadres kan de gebruiker vervolgens op de site inloggen. De plug-in controleert niet of het token en het e-mailadres wel bij elkaar horen. Er wordt alleen gecontroleerd of het om een geldig token gaat, zo laat securitybedrijf Wordfence weten.
Een aanvaller kan hier misbruik van maken door bij het inloggen zijn eigen geldige token op te geven in combinatie met het e-mailadres van een willekeurig account op de WordPress-site. Wanneer een aanvaller het e-mailadres van de website-admin weet en dit opgeeft, zal hij als administrator worden ingelogd en zo de controle over de site krijgen.
De ontwikkelaars van Tutor LMS Pro werden op 14 januari ingelicht en kwamen op 30 januari met een update. Wordfence heeft nu de details van de kwetsbaarheid openbaar gemaakt. Aangezien het hier om een betaalde plug-in gaat zijn er geen cijfers bekend over het aantal sites dat de update heeft geïnstalleerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
