image

Belgische student ontdekt ernstig WordPress-lek

vrijdag 13 september 2013, 10:44 door Redactie, 4 reacties

Een Belgische student aan de Katholieke Universiteit Leuven heeft een ernstig beveiligingslek in de zeer populaire blogsoftware WordPress ontdekt, waardoor kwaadwillenden WordPress-sites konden overnemen. Tom van Goethem ontdekte het probleem op 3 april van dit jaar.

Een dag later informeerde hij WordPress. Ondanks de ernst van de kwetsbaarheid werd het probleem in vier fixes die in juni, augustus en september verschenen niet opgelost. Deze week bracht WordPress eindelijk de update uit die het probleem van Van Goethem verhielp, waarop de student de details van de kwetsbaarheid publiceerde.

Update

"Hoewel dit lek door een enkel Unicode-karakter werd veroorzaakt, had het wel een impact op de kernfunctionaliteit van WordPress. Waarschijnlijk was dit de reden waarom ze 5 maanden nodig hadden om het op te lossen", aldus Van Goethem op zijn blog, dat niet op WordPress draait. WordPress-gebruikers krijgen het advies om naar WordPress 3.6.1 te updaten, die verder twee andere lekken en verschillende bugs oplost.

Reacties (4)
13-09-2013, 11:33 door SphaZ
Eng, vraag me af hoeveel andere bekende PHP software hier ook vast van zou hebben.
13-09-2013, 22:18 door 0101
Onveilige unserialization was hetzelfde probleem dat ten grondslag lag aan een ernstig lek in Ruby on Rails eerder dit jaar (https://www.security.nl/posting/39835/Ernstig+lek+in+Ruby+on+Rails+gedicht), en heeft daarvoor ook al jarenlang beveiligingslekken opgeleverd.
14-09-2013, 13:55 door [Account Verwijderd]
[Verwijderd]
12-12-2013, 15:02 door Anoniem
Door SphaZ: Eng, vraag me af hoeveel andere bekende PHP software hier ook vast van zou hebben.

Best eng eigenlijk.. hoop dat ze er direct wat aan doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.