40.000 WordPress-sites kwetsbaar door XSS-lek in Download Manager
Zo'n 40.000 WordPress-sites lopen het risico om te worden overgenomen door middel van een kwetsbaarheid in de Download Manager-plug-in. Download Manager is een plug-in waarmee webmasters downloads vanaf hun WordPress-site kunnen volgen en beheren. Zo is bijvoorbeeld per gebruiker de hoeveelheid downloads of downloadsnelheid in te stellen. Daarnaast is de plug-in te gebruiken voor de verkoop van digitale producten.
Meer dan 100.000 WordPress-sites maken gebruik van Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS)-kwetsbaaheid, die door het niet goed omgaan met gebruikersinvoer wordt veroorzaakt. Door een gebruiker van de plug-in een malafide link te laten openen is het voor een aanvaller mogelijk om willekeurige code in de browser van het slachtoffer uit te voeren, zo meldt securitybedrijf Wordfence.
Een aanvaller kan zo gevoelige informatie of cookie-waardes stelen en in het ergste geval beheerderstoegang krijgen of een backdoor toevoegen. In het geval van Download Manager zouden zowel klantgegevens als toegang tot de aangeboden digitale producten risico lopen. Een aanvaller die de sessiecookies van de beheerder via het lek weet te bemachtigen kan zo de instellingen van het betaalproces aanpassen en zelfs nepproducten toevoegen.
Het beveiligingslek is aanwezig in versie 3.2.42 en ouder van de plug-in en verholpen met versie 3.2.43. Op het moment van schrijven hebben zo'n zestigduizend van de honderdduizend WordPress-sites waarop Download Manager draait de laatste versie geïnstalleerd, wat inhoudt dat zo'n veertigduizend sites nog risico lopen.
Configuratiefouten zoals user enumeration op enabled laten staan, alsmede directory listing zijn onvergeeflijk.
Verder natuurlijk kwetsbare code in plug-ins en kwetsbaarheden door niet op tijd updaten of op de achterliggende servers.
Een gelikte veilige site die eigenaar of onderhouder laat zoals die de ontwerpers verliet, is zo een onveilige website.
Onveilig beheer zou afgestraft moeten worden. Het brengt niet alleen jezelf in gevaar maar ook je bezoekers lopen dit.
Op een schip werd je dus vroeger gekielhaald. Op Interwebz gebeurt er niets, nada, naks.
luntrus
Een gelikte veilige site die eigenaar of onderhouder laat zoals die de ontwerpers verliet, is zo een onveilige website.
Onveilig beheer zou afgestraft moeten worden. Het brengt niet alleen jezelf in gevaar maar ook je bezoekers lopen dit.
Op een schip werd je dus vroeger gekielhaald. Op Interwebz gebeurt er niets, nada, naks.
luntrus
Het past niet in een normale sociale samenleving dat mensen ongestraft andermans werk kapot kunnen maken en
dat het "algemeen geaccepteerd" is dat alleen een paar topspecialisten een website kunnen beheren en dan nog
alles uit de kast moeten halen om het veilig te houden.
Er wordt veel te weinig gedaan tegen internet inbrekers. Die zouden minstens net zo hard aangepakt moeten worden
als klassieke inbrekers.
Maar dat werkt nu juist niet. Waar ligt dat dan aan? Dom houden o.a., zodat niemand weet hoe het basaal te beveiligen is.
De verkeerde mensen monitoren en surveilleren. Staatshackers en script-kiddo's gedogen om een digitale chaos te veroorzaken, zodat de BBB- en Great Reset plannetjes meer kans van slagen zullen hebben. Ik geloof niet meer in toeval bij gedogen van criminaliteit top-down; het gaat met opzet. Alles is al gepn*wed, corrupt, broke. Straks komt de nieuwe luciferiaanse versie 2.0., maar die lijkt nog meer op een nog erger persistent hell-hole.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
