In negen populaire WordPress-plug-ins zijn ernstige beveiligingslekken ontdekt waarmee het mogelijk is om de achterliggende website volledig over te nemen. De plug-ins hebben bij elkaar meer dan 1,5 miljoen actieve installaties en op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal met een 9 beoordeeld.
"Het interessante is dat acht van de negen beveiligingslekken via hetzelfde eenvoudige codepatroon zijn gevonden waardoor ze kwetsbaar voor SQL-injection waren. Ondanks de mogelijkheid tot misbruik kan het filteren van gebruikersinvoer veel ontwikkelaars gewoon niets schelen", stelt onderzoeker Tin Duong van securitybedrijf Fortinet, dat de kwetsbaarheden ontdekte.
Via SQL-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.
"SQL-injection is geen nieuwe techniek, maar het vormt altijd een serieuze beveiligingsdreiging voor webapplicaties en webservers. Om het te voorkomen zouden ontwikkelaars altijd programmeerstandaarden en best practices voor veilig programmeren moeten volgen", merkt Duong op. Fortinet waarschuwde de betreffende ontwikkelaars die de afgelopen weken met updates kwamen.
In de praktijk blijkt dat WordPress-gebruikers hun plug-ins niet altijd updaten en zo risico lopen om te worden aangevallen. De kwetsbaarheden zijn onder andere aanwezig in de plug-ins NextGEN Gallery, Photo Gallery en Popup Builder die respectievelijk meer dan 900.000, 300.000 en 100.000 actieve installaties hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.