Nieuws
image

WordPress brengt beveiligingsupdate uit voor SQL-injection kwetsbaarheid

woensdag 31 augustus 2022, 10:17 door Redactie, 11 reacties

WordPress, het platform waar 43 procent van alle websites op draait, heeft een beveiligingsupdate uitgebracht die meerdere beveiligingslekken verhelpt, waaronder een SQL-injection kwetsbaarheid. Het beveiligingslek bevindt zich in de WordPress Link-functionaliteit, die eerder nog bekendstond als "Bookmarks". Deze functionaliteit staat bij nieuwere WordPress-installaties niet meer standaard ingeschakeld. Bij oudere installaties is dat wel het geval, waardoor mogelijk miljoenen websites risico lopen, zo waarschuwt securitybedrijf Wordfence.

Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen, of juist kwaadaardige code toe te voegen.

Om misbruik van het lek te maken, dat nog geen CVE-nummer heeft, moet een aanvaller over adminrechten beschikken, hoewel misbruik ook via third-party plug-ins of themes mogelijk is, waardoor een aanvaller over minder hoge rechten hoeft te beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.0. Eigenaren van een WordPress-site worden aangeraden om te updaten naar WordPress 6.0.2, wat op websites met automatische updates automatisch zal plaatsvinden.

Reacties (11)
31-08-2022, 10:59 door Anoniem
Als je vandaag de dag nog een SQL-injection in je website hebt zitten, dan heb je zitten prutsen. Echt, stop eens met Wordpress. Spaghetti-code.
31-08-2022, 12:26 door Anoniem
Door Anoniem: Als je vandaag de dag nog een SQL-injection in je website hebt zitten, dan heb je zitten prutsen. Echt, stop eens met Wordpress. Spaghetti-code.

SQL-injections zijn een categorie van vulnerabilities.
Er worden nog steeds nieuwe manieren ontdekt om SQL-injections te doen, net zoals er ook nog steeds nieuwe manieren ontdekt worden om andere categorieën van vulnerabilities te te exploiteren.

Software zal steeds bugs bevatten, en dat heeft niets met Wordpress of iets anders te maken.
Wordpress is redelijk mature en deze vulnerability wordt automatisch opgelost via de auto-update functionaliteit.

Of een SQL injection vulnerability in Wordpress veel impact heeft hangt af van welke andere security controls er zijn, zoals een web application firewall, en de configuratie van de database zelf.
31-08-2022, 12:27 door Anoniem
Uitleg hoe je WordPress Link uitzet lijkt ook weer interessant te zijn geworden.
31-08-2022, 12:40 door Anoniem
Maar die er al geen verstand van hebben, blijven prutsend doorgaan.

Default user enumeration en directory listing op 'enabled' laten staan.

Dan is het een fluitje van een cent om de boel op een bepaald moment over te nemen als je ook je site CMS, thema en plug-ins niet goed onderhoudt.

Een gelikte site laten ontwerpen voor heel wat flappies en dan gewoon geen website onderhoud plegen.

Slechts janken als er iets verkeerd gaat, maar pas achteraf.
Eigen schuld dikke bult of misschien opzettelijk?
Een klein kind kan het zien, toch gaat de digitale cyber-ellende door bij commercie, overheden en toezichthouders. Onbegrijpelijk?

#observator
31-08-2022, 13:04 door Anoniem
Door Anoniem:
SQL-injections zijn een categorie van vulnerabilities.
Er worden nog steeds nieuwe manieren ontdekt om SQL-injections te doen, net zoals er ook nog steeds nieuwe manieren ontdekt worden om andere categorieën van vulnerabilities te te exploiteren.
Onzin. Een goed gebouwde website laat alle database queries via een eigen driver gaan die SQL-injecties voorkomt. In zo'n geval zijn er geen nieuwe manieren te bedenken en is de website ook in de toekomst bestand tegen SQL-injecties.
31-08-2022, 13:37 door Anoniem
Door Anoniem: Als je vandaag de dag nog een SQL-injection in je website hebt zitten, dan heb je zitten prutsen. Echt, stop eens met Wordpress. Spaghetti-code.

Als ik het zelfde door jou en de jullie-en met het handje vanaf scratch laat maken dan zit je over twee jaar nog te scrummen en te agilen en heb ik nog niks. Ja, heel veel hele lange emails. Met een rekening erbij. ;-)
31-08-2022, 14:03 door Anoniem
Door Anoniem:
SQL-injections zijn een categorie van vulnerabilities.
Er worden nog steeds nieuwe manieren ontdekt om SQL-injections te doen, net zoals er ook nog steeds nieuwe manieren ontdekt worden om andere categorieën van vulnerabilities te te exploiteren.

Nee dat is niet zo, dat kan alleen als er verouderde SQL API's gebruikt worden waarin de programmeur zelf een SQL
statement samenstelt op basis van constante en variable stukjes. Je ziet dan dat die variabelen op de een of andere
manier door gebruikers gevuld kunnen worden en daarmee het hele statement kan worden aangepast.
Als je een moderne SQL API gebruikt die het SQL statement en de parameters via aparte argumenten doorgeeft dan
is dat probleem er niet en kan het er ook niet zijn.
PHP code waarin de functie mysql_query voorkomt moet per direct worden verwijderd uit paketten als WordPress, dat
duldt geen uitstel en fixes met allerlei quoting functies tellen niet als oplossing.

Overigens is een ander (ik denk nog veel groter) probleem in WordPress het voorkomen van de functie eval() in de
code. Dat zou ook verboden moeten worden.
31-08-2022, 14:48 door Anoniem
Hier wordt je gewoon terecht teruggeleid naar:
https://www.security.nl/?welcome

Zo heurt het.
01-09-2022, 00:21 door Anoniem
Door Anoniem:
Door Anoniem: Als je vandaag de dag nog een SQL-injection in je website hebt zitten, dan heb je zitten prutsen. Echt, stop eens met Wordpress. Spaghetti-code.
Als ik het zelfde door jou en de jullie-en met het handje vanaf scratch laat maken dan zit je over twee jaar nog te scrummen en te agilen en heb ik nog niks. Ja, heel veel hele lange emails. Met een rekening erbij. ;-)
Wil je nou zeggen dat er voor jou maar twee mogelijkheden zijn? Wordpress en vanaf scratch de boel zelf bouwen? Kijk eens verder in CMS-land. Er is genoeg te krijgen waarmee je snel en goedkoep een wel-veilige website kan maken.
01-09-2022, 10:24 door Anoniem
Ik dacht toch dat mysql_query jaren uitgefaseerd is. Als je netjes via PDO parameteriseert is er niks aan de hand. Het zegt iets over WP development team dat dit niet fatsoenlijk op orde is.
02-09-2022, 20:08 door Anoniem
Door Anoniem:
Door Anoniem:
SQL-injections zijn een categorie van vulnerabilities.
Er worden nog steeds nieuwe manieren ontdekt om SQL-injections te doen, net zoals er ook nog steeds nieuwe manieren ontdekt worden om andere categorieën van vulnerabilities te te exploiteren.

Nee dat is niet zo, dat kan alleen als er verouderde SQL API's gebruikt worden waarin de programmeur zelf een SQL
statement samenstelt op basis van constante en variable stukjes. Je ziet dan dat die variabelen op de een of andere
manier door gebruikers gevuld kunnen worden en daarmee het hele statement kan worden aangepast.
Als je een moderne SQL API gebruikt die het SQL statement en de parameters via aparte argumenten doorgeeft dan
is dat probleem er niet en kan het er ook niet zijn.
PHP code waarin de functie mysql_query voorkomt moet per direct worden verwijderd uit paketten als WordPress, dat
duldt geen uitstel en fixes met allerlei quoting functies tellen niet als oplossing.

Overigens is een ander (ik denk nog veel groter) probleem in WordPress het voorkomen van de functie eval() in de
code. Dat zou ook verboden moeten worden.

Prepared statements met parametrized queries zijn een primary defense tegen SQL injections.
Een attacker kan dan de query zelf niet meer aanpassen, maar het lost niet alle types van SQL injections op.

Als alles zo simpel was dan jij denkt dat het is, dan waren er al lang geen vulnerabilities meer.
Het is echter veel makkelijker om te geloven dat "de anderen" prutsers zijn dan om te beseffen dat het probleem moeilijker en genuanceerder is dan jij kan bevatten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure