image

Lek in WordPressplug-in LatePoint laat aanvaller adminwachtwoord wijzigen

dinsdag 8 oktober 2024, 11:35 door Redactie, 4 reacties

Een kwetsbaarheid in de WordPressplug-in LatePoint, die op duizenden websites actief is, laat aanvallers door middel van SQL Injection het adminwachtwoord wijzigen, om zo de website volledig over te nemen. Via LatePoint kunnen WordPress-sites online reserveringen en afspraken van gebruikers beheren. De plug-in zou op meer dan zevenduizend websites geïnstalleerd zijn, meldt securitybedrijf Wordfence.

Onderzoekers vonden twee kritieke kwetsbaarheden in de plug-in. Het eerste probleem wordt veroorzaakt door het onvoldoende escapen van gebruikersinvoer, waardoor SQL Injection mogelijk is. Dit zorgt ervoor dat een ongeauthenticeerde aanvaller van elk account, waaronder de beheerder, het wachtwoord kan wijzigen. Voorwaarde voor misbruik is wel dat de optie 'Use WordPress users as customers' actief is, die standaard niet ingeschakeld staat.

Het tweede probleem zorgt ervoor dat een gebruiker als elke gebruiker kan inloggen, waaronder de beheerder, als het 'user id' bekend is. Wederom moet de optie 'Use WordPress users as customers' zijn ingeschakeld. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van LatePoint kwamen op 24 september met een volledige update. Daarop heeft Wordfence nu de details openbaar gemaakt. Het gaat hier om een commerciële plug-in, waardoor er geen cijfers zichtbaar zijn van hoeveel sites niet up-to-date zijn, zoals met plug-ins op WordPress.org wel het geval is.

Reacties (4)
08-10-2024, 11:49 door wim-bart
Echt waar, 2024 en dan nog SQL injectie in code. Er zijn zo veel mooie oplossingen, zelfs in PHP om dit te voorkomen. Dit disqualificeert Wordpress nog meer voor mij.
08-10-2024, 11:57 door Anoniem
Veroorzaakt door onvoldoende escapen voor gebruikersinvoer.

Maar met user enumeration en directory listing op enabled laten staan, gaat dit nog gemakkelijker.

Deactiveren en de boel up to date houden hoeft niet denkt men, ik draai toch achter CloudFlare?

Heel veel valse zuinigheid, maakt dat men later toch echt wel schreit (aangepast gezegde).

#laufer
08-10-2024, 12:03 door Anoniem
Door wim-bart: Echt waar, 2024 en dan nog SQL injectie in code. Er zijn zo veel mooie oplossingen, zelfs in PHP om dit te voorkomen. Dit disqualificeert Wordpress nog meer voor mij.
Het lek zit niet in Wordpress, maar in de software van een plugin geschreven door een derde partij (LatePoint).
08-10-2024, 12:07 door Anoniem
Door wim-bart: Echt waar, 2024 en dan nog SQL injectie in code. Er zijn zo veel mooie oplossingen, zelfs in PHP om dit te voorkomen. Dit disqualificeert Wordpress nog meer voor mij.
Net als bij Andoid is het niet het programma maar de apps of plug-inns wat het probleem is, niet Wordpress of Android.
Overigens is er al een update uitgebracht.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.