image

590.000 WordPress-sites kwetsbaar door kritiek beveiligingslek in plug-in

dinsdag 9 februari 2021, 11:50 door Redactie, 5 reacties

Zo'n 590.000 WordPress-sites lopen door een kritieke kwetsbaarheid in een plug-in het risico om door aanvallers te worden overgenomen. De ontwikkelaar van NextGen Gallery, de plug-in waar het om gaat, heeft een beveiligingsupdate uitgebracht. Slechts een kleine 27 procent van de meer dan 800.000 WordPress-sites die de plug-in gebruikt heeft de update echter geïnstalleerd.

Via NextGen Gallery kunnen WordPress-sites een fotogalerij aan hun website toevoegen. Onderzoekers van securitybedrijf Wordfence ontdekten afgelopen december twee kwetsbaarheden in de plug-in. De impact van één van deze beveiligingslekken (CVE-2020-35942) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,6 beoordeeld.

De kwetsbaarheid wordt veroorzaakt door een logische fout in de functie die beoordeelt of bepaalde requests zijn toegestaan. Een aanvaller kan door middel van cross-site request forgery (CSRF) zo op afstand code uitvoeren. De aanval vereist wel enige social engineering. Zo moet een ingelogde beheerder op een link van de aanvaller klikken en moet tenminste één fotoalbum van de website voor de aanvaller toegankelijk zijn.

De ontwikkelaar van de plug-in werd op 15 december ingelicht en kwam twee dagen later met een update. Deze versie, 3.5.0, is door een kleine 27 procent van de meer dan 800.000 websites geïnstalleerd. Dat houdt in dat zo'n 590.000 WordPress-sites nog met een kwetsbare versie van de plug-in zitten. Beheerders van deze sites wordt aangeraden de update zo snel als mogelijk te installeren, aangezien details over het lek bekend zijn gemaakt.

Reacties (5)
09-02-2021, 14:23 door Anoniem
Je moet ook geen plugins installeren in wordpress, zitten veel te veel pruts developers op dat platform, en als je zelf niet kundig bent, kan je zeker het kaf niet van het koren scheiden.
09-02-2021, 14:49 door Anoniem
L.S.

De core code van deze op PHP gebaseerde CMS is in de regel vrij betrouwbaar en wordt gewoonlijk goed onderhouden.
Bij thema's plug-ins en de uiteindelijke settings kan er nogal eens wat misgaan of over het hoofd worden gezien.
Ook worden de hoofdversie updates van Word Press nogal eens vergeten door website onderhouders.
Dat alles kan zich wreken op de veiligheid van websites met dit onderhavige CMS en dergelijke verouderde plug-ins.

Kijk eens hier en scan met deze online CMS app: https://hackertarget.com/wordpress-security-scan/
of een scannetje bij webhint.io/scanner/ kan ook de ogen openen.

Dank aan de redactie hier voor deze interessante link in het bericht, u verplicht ons weer hiermee, zie:
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

luntrus
10-02-2021, 12:53 door Anoniem
Walgelijk om te zien dat dit bericht continue maar in onze smoelen gesmeten blijft worden.

Het is niets meer dan een gesponsorde shill.

Bah!

Gewoon goed onderhouden en strak (laten) monitoren vanuit een SLA, niets aan de hand. Is er wel iets aan de hand, dat kan bij iedere website gebeuren, kun je op de SLA terugvallen.
10-02-2021, 16:29 door linuxpro
Door Anoniem: L.S.

De core code van deze op PHP gebaseerde CMS is in de regel vrij betrouwbaar en wordt gewoonlijk goed onderhouden.
Bij thema's plug-ins en de uiteindelijke settings kan er nogal eens wat misgaan of over het hoofd worden gezien.
Ook worden de hoofdversie updates van Word Press nogal eens vergeten door website onderhouders.
Dat alles kan zich wreken op de veiligheid van websites met dit onderhavige CMS en dergelijke verouderde plug-ins.

Ik snap dat er geld verdient moet worden maar op deze manier als reactie, is volgens mij in strijd met van alles en reden te meer om zeker niet die links te volgen. Fopdrollen
10-02-2021, 18:51 door Anoniem
Kritiek, moeilijk onderwerp. Ook niet leuk voor de redactie, die deze berichten over narigheid met Word Press sites regelmatig hier meldt. Sommige plug-in developers zouden best wel eens met een cheat-sheet ernaast moeten gaan werken.
Hoogmoed komt steeds voor de compromittering.

En moet een cloudboer vanuit de SLA gaan monitoren? Niet ieder draait een professioneel ontwikkelde Word Press site en besteedt het onderhouden uit.

En dan nog is security vaak een last resort issue. PHP, juist ja, zie de hacker's weak PHP list ;).

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.