WordPress-sites via wachtwoordreset-lek in Elementor-plug-in over te nemen
Een kritieke kwetsbaarheid in een populaire plug-in voor WordPress maakt het mogelijk voor een ongeauthenticeerde aanvaller om websites over te nemen. De enige vereiste is dat de aanvaller de gebruikersnaam weet van het account dat hij wil kapen, zo meldt securitybedrijf Patchstack. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.
Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen.
Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Gisteren verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Er staat in de beschrijving alleen "Improved: EA Login/Register Form for Security Enhancement" en "Few minor bug fixes & improvements." Hoeveel websites met Essential Addons for Elementor kwetsbaar zijn is onbekend, aangezien het probleem alleen bij bepaalde versies speelt. Wel hebben gisteren 358.000 sites de update ontvangen.
Zoals alle code ivm wordpress en de plugins is het natuurlijk 1 grote spaghetti.
Word Press blijft een risicovol CMS, zeker als het niet volledig wordt voorzien van updates en patches,
via goede maintanance. Maar ja 'we bent zunig' als CEO en leidinggevenden.
Doch kosten gaan nog altijd voor de baat uit, dames en heren,en de eindrekening zit altijd onder in de zak.
'Better forwarned is better forarmed'. ;)
Wie niet luisteren wil, moet voelen of doorberekenen naar de klant,
die dat ten slotte ook wel een keertje zat zal worden en dus wegloopt.
Ook het niet op disabled zetten van user enumeration en directory listing,
zijn onvergeeflijke configuratie-beginnersfouten.
Zo is een wachtwoord-reset kwetsbaarheid zoals boven geschetst slechts een fluitje van een cent.
Maar ook ander op php-gebaseerd CMS zoals Joomla, Magento etc. kan via kwetsbare plug-ins lek zijn of worden.
Scan bij 28 scanners hier:https://hackertarget.com/
en Magento webshop websites hier:https://www.magereport.com/
En wat heb je aan een mooi duur ontworpen flitsende website, als je deze later niet kan of wil onderhouden?
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
