image

WordPress-lek laat aanvallers websites overnemen

donderdag 7 januari 2016, 10:09 door Redactie, 8 reacties

Er is een beveiligingsupdate voor het populaire contentmanagementsysteem (cms) WordPress uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller websites kan overnemen. Het gaat om een cross-site scripting-kwetsbaarheid, zo laten de ontwikkelaars van WordPress weten.

Het lek werd door een externe beveiligingsonderzoeker via het bugbeloningsprogramma HackerOne aan WordPress gemeld. Verder zijn er 52 niet-security gerelateerde bugs verholpen. Gebruikers krijgen het dringende advies om hun website of websites direct te updaten naar WordPress 4.4.1. Volgens onderzoek zou 25% van alle websites op internet van WordPress gebruikmaken. Het komt regelmatig voor dat kwetsbare WordPress-sites worden gehackt en gebruikt voor het verspreiden van malware.

Reacties (8)
07-01-2016, 10:39 door Anoniem
Kijk eens aan, een lek in Wordpress. Het werd ook wel weer tijd daarvoor, want de laatste is al gauw weer een paar weken terug.

Wordpres... pffff!!
07-01-2016, 12:41 door Anoniem
Door Anoniem: Kijk eens aan, een lek in Wordpress. Het werd ook wel weer tijd daarvoor, want de laatste is al gauw weer een paar weken terug.

Wordpres... pffff!!

zeker nog nooit geprogrammeerd? In een paar honderdduizend regels code -minstens- wil nog wel eens een bugje sluipen. En als je dan populair bent, zitten de hackers er bovenop. Niks mis met WP.

(en even verder op de site: https://www.security.nl/posting/456840/Drupal-sites+kwetsbaar+door+onveilig+updateproces )
07-01-2016, 14:13 door Anoniem
Niks mis met WP? Heb je wel eens in die code gekeken? Wat een puinhoop.
Daarnaast staan alle files in de public map. Een beetje framework/CMS heeft alleen een index.php, een .htaccess file en CSS/JS/Images fils in de public map staan. De rest staat erbuiten.

Kijk eens naar frameworks zoals Laravel en/of Symfony :)
Dit zijn dan wel geen CMS'en, maar het gaat even om de code quality ;)
07-01-2016, 14:22 door Mend0x
Hier de commit:
https://github.com/WordPress/WordPress/commit/7ab65139c6838910426567849c7abed723932b87

Als ik het goed lees moet je dus eerst het thema kunnen wijzigen, wat zou betekenen dat je alleen als admin het lek kan misbruiken.
07-01-2016, 16:50 door Anoniem
zeker nog nooit geprogrammeerd? In een paar honderdduizend regels code -minstens- wil nog wel eens een bugje sluipen. En als je dan populair bent, zitten de hackers er bovenop. Niks mis met WP.
Oh, zeker wel. Maar mijn code is netjes en geen spaghettizooi zoals Wordpress. Ik heb Wordpress zelf in het verleden gebruikt. Namelijk tijdens mijn cursus 'Veilig Programmeren', om aan de cursisten te laten zien hoe het niet moet.
07-01-2016, 16:52 door Anoniem
Kijk eens naar frameworks zoals Laravel en/of Symfony :)
Dit zijn dan wel geen CMS'en, maar het gaat even om de code quality ;)
Neem dan Banshee PHP. Wel een CMS (eigenlijk meer CMF) en ook goede code.
07-01-2016, 16:56 door Anoniem
Door Mend0x: Hier de commit:
https://github.com/WordPress/WordPress/commit/7ab65139c6838910426567849c7abed723932b87

Als ik het goed lees moet je dus eerst het thema kunnen wijzigen, wat zou betekenen dat je alleen als admin het lek kan misbruiken.
Dat krijg je als je geen output-laag in je code hebt zitten die dit soort dingen automatisch afvangt. En regel 243: HTML escaping op een stylesheet? WTF? Wat is dit voor een baggergedoe?!?
07-01-2016, 17:59 door Anoniem
Door Anoniem:
Door Mend0x: Hier de commit:
https://github.com/WordPress/WordPress/commit/7ab65139c6838910426567849c7abed723932b87

Als ik het goed lees moet je dus eerst het thema kunnen wijzigen, wat zou betekenen dat je alleen als admin het lek kan misbruiken.
Dat krijg je als je geen output-laag in je code hebt zitten die dit soort dingen automatisch afvangt. En regel 243: HTML escaping op een stylesheet? WTF? Wat is dit voor een baggergedoe?!?

Da's geen stylesheet..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.