200.000 WordPress-sites lopen risico door aangevallen zeroday in plug-in
Meer dan 200.000 WordPress-sites lopen vanwege een actief aangevallen zerodaylek risico om door aanvallers te worden overgenomen. Een beveiligingsupdate voor de kritieke kwetsbaarheid in de Ultimate Member-plug-in is nog niet beschikbaar. Beheerders wordt dan ook aangeraden om de plug-in direct uit te schakelen, zo stelt securitybedrijf Wordfence.
Ultimate Member is een "profile & membership" plug-in waarmee WordPress-sites gebruikers en abonnementen kunnen beheren, bijvoorbeeld voor online communities. Zo is het mogelijk om bepaalde content alleen voor betalende gebruikers beschikbaar te maken. De plug-in is volgens cijfers van WordPress zelf op meer dan 200.000 websites actief.
Een kritieke kwetsbaarheid in de plug-in (CVE-2023-3460) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zich als beheerder te registreren en zo volledige controle over de website te krijgen. Het probleem doet zich voor bij het registratieformulier van de plug-in. In dit formulier blijkt het mogelijk om bepaalde waardes voor het te registreren account te wijzigen. Het gaat onder andere om de "wp_capabilities" waarde, die de rol van de gebruiker op de website bepaalt.
De plug-in staat niet toe dat gebruikers deze waarde opgeven, maar dit filter blijkt eenvoudig te omzeilen waardoor het toch mogelijk is om wp_capabilities te wijzigen en zo beheerder te worden. Een update is zoals gezegd niet beschikbaar. Gebruikers wordt dan ook opgeroepen de plug-in te verwijderen totdat een patch beschikbaar is. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Wordpress zelf valt nog mee maar die plug-ins die elke wannabe developer maakt maken het zo lek.
Je moet maar hopen dat de schrijver van het prutswerk nog zin heeft om een update te maken.
Als je nog BETER kijkt, zie dat het nagenoeg altijd de plugin's zijn, die problemen geven, niet WordPress zelf.
Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
Alle CMS werken met plug-ins. Servers bevatten plug-ins. Je PC bevat plug-ins, je telefoon heeft plug-ins.
Het heeft elke keer een ander naampje plug-in, addon, module extension, library, maar het komt op het zelfde neer software dat functies toevoegd op bestaande applicaties.
Zelfs al zou je alle plugins in de back-end van Wordpress uitschakelen dan nog heeft het intern bundled plug-ins want anders werkt het niet. exif, fileinfo, hash, json, mbstring, pcre succes om zonder die Wordpress te runnen.
Nog even los van wat een server wel niet voor plug-ins tegenwoordig moet hebben om veilig te kunnen opereren via het internet.
Dus nee het probleem is niet plug-ins nog het CMS het is het niet auditten, onderhouden, afschermen en de gebrek van kennis ervan.
Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
Het is dus gewoon een vergiet..
Zo vreselijk als ik de codebase van WordPress vind, ligt het 99 van de 100 keer aan de plugins, niet de core van WordPress zelf. Een plugin is zo gemaakt, elke eerstejaars student kan er zo een maken en publiceren. Die plugins worden vervolgens geïnstalleerd door mensen die nog minder technische kennis dan degenen die de plugins gemaakt hebben.
Het is dus gewoon een vergiet..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
