Duizenden WordPress-sites kwetsbaar door kritiek lek in wpDiscuz
Duizenden WordPress-sites zijn kwetsbaar door een kritiek beveiligingslek in de plug-in "wpDiscuz" waardoor een aanvaller willekeurige code op de server van kwetsbare sites kan uitvoeren. WpDiscuz voorziet WordPress-sites van uitgebreidere opties om gebruikers te laten reageren. Sinds versie 7 van de plug-in is het mogelijk om afbeeldingen te uploaden, die vervolgens in de reacties op de website worden weergegeven.
De controle die WpDiscuz op geüploade bestanden uitvoerde bleek eenvoudig te omzeilen. Daardoor was het mogelijk voor ongeauthenticeerde gebruikers om willekeurige bestanden te uploaden, waaronder PHP-bestanden. Zo zou een aanvaller willekeurige PHP-code op de server kunnen uitvoeren. In het ergste geval zou een aanvaller zo toegang tot alle websites kunnen krijgen die op de server worden gehost.
De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Dat houdt in dat het beveiligingslek eenvoudig is te misbruiken. De kwetsbaarheid werd op 19 juni door securitybedrijf Wordfence aan de wpDiscuz-ontwikkelaars gemeld. Op 23 juli verscheen er een nieuwe versie van de plug-in waarin het beveiligingslek was verholpen. WpDiscuz draait op meer dan 80.000 WordPress-sites. De helft daarvan maakt gebruik van versie 7. Sinds het uitkomen van de nieuwe versie is de plug-in 30.000 keer gedownload, wat inhoudt dat duizenden WordPress-sites nog kwetsbaar zijn.
Nu de beveiligingsupdate beschikbaar is heeft Wordfence meer details over de kwetsbaarheid gegeven. Websites die de nieuwste versie nog niet hebben geïnstalleerd wordt dringen aangeraden dit zo spoedig mogelijk te doen. In februari van dit jaar werd een kwetsbaarheid in de plug-in Profile Builder, die ook een impactscore van 10 had, kort na het uitkomen van de beveiligingsupdate aangevallen.
Hmm, dan gaan jullie er vanuit dat iedereen die de plugin download hem precies op één website zet. Het lijkt me waarschijnlijker dat met 30.000 downloads van de update er meer websites zijn bijgewerkt...
The problem is 100% fixed and wpDiscuz is safe.
You can ignore this if you've already updated to 7.0.5 or higher version (current version is 7.0.6).
This was fixed and the new version 7.0.5 was released a week ago. There is not any issues with current wpDiscuz version. It's 100% secure now.
This kind of issues happens with almost all WordPress plugins, so there is no reason to worry if you've updated and up to date.
Just keep updating your plugins and make sure you're using the latest versions.
And some numbers…
About 50% of wpDiscuz users are currently using 7.x.x versions. It’s about 35,000 websites.
30,000 of them have already updated to secure 7.0.5 and higher versions during last week. And about 3,000 websites are updating every day.
So in one two days there almost certainly won’t be any website with old unsecure 7.0.0 – 7.0.4 versions and almost all websites will be up to date and safe.
Thank you!
wpDiscuz Developers
Jetz ales in ordnung!
Machen Sie sich keine Sorgen.
Word Press het blijft nog vaak aanmodderen met deze op PHP gebaseerd CMS.
Kwetsbaarheden op de webserver etc. (weak PHP).
Verouderde versies, verouderde of verlaten plug-ins.
User Enumeration en Directory Listing, allebei niet later op 'disabled' gezet.
Kwetsbare afvoerbare jQuery bibliotheken (bootstrap.js bijv. enz.). DOM-XSS issues.
Niet voldoende van updates voorzien enop tijd gepatcht,
blijft security op Word Press "dweilen met de kraan open".
Een gelikte website is nog geen veilige website.
En veiligheid is vaak sluitstuk, maar de eindrekening zit wel altijd onder in de zak.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
