image

750.000 WordPress-sites kwetsbaar door lekken in Gutenberg-plug-in

donderdag 2 september 2021, 11:32 door Redactie, 9 reacties

Zeker 750.000 WordPress-sites zijn kwetsbaar door twee beveiligingslekken in een plug-in genaamd Gutenberg Template Library & Redux Framework. Via deze uitbreiding kunnen WordPress-sites allerlei templates en blokken toevoegen. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker met beperkte rechten om willekeurige plug-ins te installeren en activeren, alsmede willekeurige berichten en pagina's te verwijderen.

Het tweede beveiligingslek maakt het mogelijk voor een ongeauthenticeerde aanvaller om allerlei informatie over de website te achterhalen, zoals PHP-versie, geïnstalleerde plug-ins en versienummer en een niet-gesalte md5-hash van de auth_key en secure_auth_key. Deze keys worden gebruikt voor het doorvoeren van aanpassingen aan de website. Volgens securitybedrijf Wordfence, dat beide kwetsbaarheden ontdekte, kan een aanvaller dit laatste lek voor verdere aanvallen gebruiken.

Beide kwetsbaarheden werden op 3 augustus aan de ontwikkelaars gerapporteerd, die op 11 augustus een beveiligingsupdate uitrolden met versienummer 4.2.13. De Gutenberg-plug-in is op meer dan 1 miljoen WordPress-sites geïnstalleerd. De beveiligingslekken zijn aanwezig in versie 4.2.11 en ouder. 750.000 websites draaien echter versie 4.1 of ouder en zijn dan ook kwetsbaar.

Zo'n 250.000 websites draaien versie 4.2.x van de plug-in. WordPress toont echter geen exacte versienummers, waardoor het aantal kwetsbare websites met een oude 4.2.x-versie onduidelijk is. Beheerders wordt aangeraden naar de laatste versie te updaten.

Reacties (9)
02-09-2021, 12:19 door Anoniem
Ja hoor weer een wordpress plugin. Stop maar met dat php gedoe. Gelukkig heeft het geen effect op de andere klanten die op een gedeelde server draaien, tenminste als het geen windows is.
02-09-2021, 12:53 door Anoniem
@12:19: het is niet de schuld van PHP dat een Wordpress-plugin-ontwikkelaar een fout maakt. Is het de schuld van een autofabrikant als een mobilist door onoplettendheid de wagen tegen een boom parkeert? Is het de schuld van een messenfabriekant als iemand in z'n eigen vinger snijdt? Is het de schuld van een aannemer als iemand van de trap dondert? Houd toch eens op dat onnozele PHP-bashing.
02-09-2021, 16:53 door Anoniem
Door Anoniem: @12:19: het is niet de schuld van PHP dat een Wordpress-plugin-ontwikkelaar een fout maakt. Is het de schuld van een autofabrikant als een mobilist door onoplettendheid de wagen tegen een boom parkeert? Is het de schuld van een messenfabriekant als iemand in z'n eigen vinger snijdt? Is het de schuld van een aannemer als iemand van de trap dondert? Houd toch eens op dat onnozele PHP-bashing.
Dat staat er ook niet dat het de schuld is van php. Er wordt gewezen naar de wordpress plugin. Daarnaast vindt hij php maar gedoe. Het is ook gedoe vergeleken met veel andere moderne talen. Dat mag best gezegd worden zonder het bashen te noemen.
02-09-2021, 19:07 door Anoniem
De core code van Word Press wordt over het algemeen goed onderhouden/bijgehouden door deveopers.
Steken laten vallen met updates en met kwetsbare plug-ins gebeurt hoofdzakelijk door verkeerd gebruik, o.a. door (veredelde) amateurs, bloggers e.d.
Hoeveel zetten user enumeration en directory listing niet op disabled, maar laten het op enabled staan. Dan wordt het hacken van zo'n site ineens een koud kunstje. Shodannetje, dorkje, pats.

PHP zwakheden zijn hierbij een extra bonus voor de malcreant,
die zo'n site wil overnemen. Zeker honderd keer hier al voor gewaarschuwd, maar het helpt voorlopig geen lor, lijkt het wel.
luntrus
02-09-2021, 22:15 door Anoniem
Door Anoniem: De core code van Word Press wordt over het algemeen goed onderhouden/bijgehouden door deveopers.
Steken laten vallen met updates en met kwetsbare plug-ins gebeurt hoofdzakelijk door verkeerd gebruik, o.a. door (veredelde) amateurs, bloggers e.d.
Hoeveel zetten user enumeration en directory listing niet op disabled, maar laten het op enabled staan. Dan wordt het hacken van zo'n site ineens een koud kunstje. Shodannetje, dorkje, pats.

PHP zwakheden zijn hierbij een extra bonus voor de malcreant,
die zo'n site wil overnemen. Zeker honderd keer hier al voor gewaarschuwd, maar het helpt voorlopig geen lor, lijkt het wel.
luntrus
Inderdaad. Het ergerlijke is dat er nog steeds ruim 600 vrijgevestigde GGZ-behandelaren vertrouwen hebben in dit soort systemen omdat ze er geen zak van afweten.

nog steeds patiëntendossiers in de zorg aan php implementaties wordt toevertrouwd.
03-09-2021, 19:19 door WPbeveiligen
Door Anoniem: Ja hoor weer een wordpress plugin. Stop maar met dat php gedoe. Gelukkig heeft het geen effect op de andere klanten die op een gedeelde server draaien, tenminste als het geen windows is.
Hoge bomen vangen veel wind. Maar inderdaad, ik dacht hetzelfde: weer een WordPress plugin :) Gelukkig zijn er veel partijen die goed werk leveren, snel oplossingen coderen en die uitbrengen in de vorm van updates.
05-09-2021, 10:11 door Anoniem
Jammer voor steeds die honderd duizenden websites, die de zaakjes niet op orde en steeds weer kwetsbaar blijken. Magento webshops idem dito. Hoe veranderen we op PHP gebaseerd CMS in iets veiligs. Een website internet-bewijs van veiligheid of in ieder geval voldoen aan basis eisen
06-09-2021, 08:28 door [Account Verwijderd] - Bijgewerkt: 06-09-2021, 08:30
Door WPbeveiligen:
Door Anoniem: Ja hoor weer een wordpress plugin. Stop maar met dat php gedoe. Gelukkig heeft het geen effect op de andere klanten die op een gedeelde server draaien, tenminste als het geen windows is.
Hoge bomen vangen veel wind. Maar inderdaad, ik dacht hetzelfde: weer een WordPress plugin :) Gelukkig zijn er veel partijen die goed werk leveren, snel oplossingen coderen en die uitbrengen in de vorm van updates.

Dat PHP lijkt mij de 'Windows' van de webpagina wereld. Zoals luntrus en nog iemand hier al lang hebben geroepen kent het nogal wat problemen met o.a. beveiliging. Goed gereedschap is wel degelijk het halve werk en een taal die voor Persoonlijke Home Pages (a.k.a. lichte consumententoepassingen) is gemaakt, 'hoge bomen noemen? Het ziet er bij snelle inspectie nogal achterhaald en knullig uit en lijkt me nu niet direct geschikt voor 'professionele' toepassingen.
19-09-2021, 09:00 door Krakatau
Door Anoniem: De core code van Word Press wordt over het algemeen goed onderhouden/bijgehouden door deveopers.
Steken laten vallen met updates en met kwetsbare plug-ins gebeurt hoofdzakelijk door verkeerd gebruik, o.a. door (veredelde) amateurs, bloggers e.d.
Hoeveel zetten user enumeration en directory listing niet op disabled, maar laten het op enabled staan. Dan wordt het hacken van zo'n site ineens een koud kunstje. Shodannetje, dorkje, pats.

PHP zwakheden zijn hierbij een extra bonus voor de malcreant,
die zo'n site wil overnemen. Zeker honderd keer hier al voor gewaarschuwd, maar het helpt voorlopig geen lor, lijkt het wel.
luntrus

Software op PHP-stacks bouwen is vragen om moeilijkheden. Het lijkt leuk en schiet ogenschijnlijk lekker op bij het bouwen. Maar uiteindelijk blijk je opgezadeld met een niet te refactoren kaartenhuis. Dynamically typed, geen reflection en introspection, waardoor geen automatisch refactoren mogelijk, etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.