image

200.000 WordPress-sites lopen risico door aangevallen zeroday in plug-in

vrijdag 30 juni 2023, 09:35 door Redactie, 9 reacties

Meer dan 200.000 WordPress-sites lopen vanwege een actief aangevallen zerodaylek risico om door aanvallers te worden overgenomen. Een beveiligingsupdate voor de kritieke kwetsbaarheid in de Ultimate Member-plug-in is nog niet beschikbaar. Beheerders wordt dan ook aangeraden om de plug-in direct uit te schakelen, zo stelt securitybedrijf Wordfence.

Ultimate Member is een "profile & membership" plug-in waarmee WordPress-sites gebruikers en abonnementen kunnen beheren, bijvoorbeeld voor online communities. Zo is het mogelijk om bepaalde content alleen voor betalende gebruikers beschikbaar te maken. De plug-in is volgens cijfers van WordPress zelf op meer dan 200.000 websites actief.

Een kritieke kwetsbaarheid in de plug-in (CVE-2023-3460) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zich als beheerder te registreren en zo volledige controle over de website te krijgen. Het probleem doet zich voor bij het registratieformulier van de plug-in. In dit formulier blijkt het mogelijk om bepaalde waardes voor het te registreren account te wijzigen. Het gaat onder andere om de "wp_capabilities" waarde, die de rol van de gebruiker op de website bepaalt.

De plug-in staat niet toe dat gebruikers deze waarde opgeven, maar dit filter blijkt eenvoudig te omzeilen waardoor het toch mogelijk is om wp_capabilities te wijzigen en zo beheerder te worden. Een update is zoals gezegd niet beschikbaar. Gebruikers wordt dan ook opgeroepen de plug-in te verwijderen totdat een patch beschikbaar is. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Reacties (9)
30-06-2023, 09:41 door waterlelie - Bijgewerkt: 30-06-2023, 09:42
WordPress is gewoon een vergiet. Als je al in deze website zoekt op "WordPress" krijg je vanaf 2005 een waslijst van 559 artikelen die voornamelijk gaan over de gatenkaas die deze website is.
30-06-2023, 10:38 door Anoniem
Goed lezen! Het zijn plugins, niet Wordpress zelf.
30-06-2023, 10:44 door _R0N_
Door waterlelie: WordPress is gewoon een vergiet. Als je al in deze website zoekt op "WordPress" krijg je vanaf 2005 een waslijst van 559 artikelen die voornamelijk gaan over de gatenkaas die deze website is.

Wordpress zelf valt nog mee maar die plug-ins die elke wannabe developer maakt maken het zo lek.
Je moet maar hopen dat de schrijver van het prutswerk nog zin heeft om een update te maken.
30-06-2023, 10:45 door Anoniem
Door waterlelie: WordPress is gewoon een vergiet. Als je al in deze website zoekt op "WordPress" krijg je vanaf 2005 een waslijst van 559 artikelen die voornamelijk gaan over de gatenkaas die deze website is.
k
Als je nog BETER kijkt, zie dat het nagenoeg altijd de plugin's zijn, die problemen geven, niet WordPress zelf.
30-06-2023, 10:56 door Anoniem
Als je nu nog plugins gebruikt bij wordpress, dan heb je vast ook je NAS rechtstreeks aan internet hangen met admin/admin wachtwoord en open je excel en word standaard met macro's enabled...
30-06-2023, 13:50 door Anoniem
Door waterlelie: WordPress is gewoon een vergiet. Als je al in deze website zoekt op "WordPress" krijg je vanaf 2005 een waslijst van 559 artikelen die voornamelijk gaan over de gatenkaas die deze website is.

Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
01-07-2023, 00:50 door Anoniem
Door Anoniem: Als je nu nog plugins gebruikt bij wordpress, dan heb je vast ook je NAS rechtstreeks aan internet hangen met admin/admin wachtwoord en open je excel en word standaard met macro's enabled...
Je snapt blijkbaar niet hoe systemen werken nog wat de definitie van plug-in is.

Alle CMS werken met plug-ins. Servers bevatten plug-ins. Je PC bevat plug-ins, je telefoon heeft plug-ins.
Het heeft elke keer een ander naampje plug-in, addon, module extension, library, maar het komt op het zelfde neer software dat functies toevoegd op bestaande applicaties.

Zelfs al zou je alle plugins in de back-end van Wordpress uitschakelen dan nog heeft het intern bundled plug-ins want anders werkt het niet. exif, fileinfo, hash, json, mbstring, pcre succes om zonder die Wordpress te runnen.

Nog even los van wat een server wel niet voor plug-ins tegenwoordig moet hebben om veilig te kunnen opereren via het internet.


Dus nee het probleem is niet plug-ins nog het CMS het is het niet auditten, onderhouden, afschermen en de gebrek van kennis ervan.
01-07-2023, 09:36 door waterlelie
Door Anoniem:
Door waterlelie: WordPress is gewoon een vergiet. Als je al in deze website zoekt op "WordPress" krijg je vanaf 2005 een waslijst van 559 artikelen die voornamelijk gaan over de gatenkaas die deze website is.

Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.

Het is dus gewoon een vergiet..
02-07-2023, 18:07 door SecOff - Bijgewerkt: 02-07-2023, 18:09
Door waterlelie:
Door Anoniem:
Door waterlelie: WordPress is gewoon een vergiet. Als je al in deze website zoekt op "WordPress" krijg je vanaf 2005 een waslijst van 559 artikelen die voornamelijk gaan over de gatenkaas die deze website is.

Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.

Het is dus gewoon een vergiet..
Net als je windows of linux computer/server, of je android of iOS smartphone. Ook daar zijn appstores / repo's voor met honderduizenden add-ons (apps/programma's) die beveiligslekken bevatten. Soms zijn er zelfs miljoenen gebruikers die zo'n app gedownload hebben. Chrome is blijkbaar ook een browser die zo "lek is als een mandje" zie: https://www.security.nl/posting/798916/Weer+malafide+extensies+in+Chrome+Web+Store+met+miljoenen+downloads
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.