WordPress-sites via wachtwoordreset-lek in Elementor-plug-in over te nemen
Een kritieke kwetsbaarheid in een populaire plug-in voor WordPress maakt het mogelijk voor een ongeauthenticeerde aanvaller om websites over te nemen. De enige vereiste is dat de aanvaller de gebruikersnaam weet van het account dat hij wil kapen, zo meldt securitybedrijf Patchstack. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.
Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen.
Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Gisteren verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Er staat in de beschrijving alleen "Improved: EA Login/Register Form for Security Enhancement" en "Few minor bug fixes & improvements." Hoeveel websites met Essential Addons for Elementor kwetsbaar zijn is onbekend, aangezien het probleem alleen bij bepaalde versies speelt. Wel hebben gisteren 358.000 sites de update ontvangen.
Zoals alle code ivm wordpress en de plugins is het natuurlijk 1 grote spaghetti.
Word Press blijft een risicovol CMS, zeker als het niet volledig wordt voorzien van updates en patches,
via goede maintanance. Maar ja 'we bent zunig' als CEO en leidinggevenden.
Doch kosten gaan nog altijd voor de baat uit, dames en heren,en de eindrekening zit altijd onder in de zak.
'Better forwarned is better forarmed'. ;)
Wie niet luisteren wil, moet voelen of doorberekenen naar de klant,
die dat ten slotte ook wel een keertje zat zal worden en dus wegloopt.
Ook het niet op disabled zetten van user enumeration en directory listing,
zijn onvergeeflijke configuratie-beginnersfouten.
Zo is een wachtwoord-reset kwetsbaarheid zoals boven geschetst slechts een fluitje van een cent.
Maar ook ander op php-gebaseerd CMS zoals Joomla, Magento etc. kan via kwetsbare plug-ins lek zijn of worden.
Scan bij 28 scanners hier:https://hackertarget.com/
en Magento webshop websites hier:https://www.magereport.com/
En wat heb je aan een mooi duur ontworpen flitsende website, als je deze later niet kan of wil onderhouden?
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
