WordPress lek

Ik heb een hoop te vertellen, maar eerst …
Zag u dit?

Miljoenen WordPress-sites lopen risico na nieuw zero-daylek

Samenvatting:Wordpress kampt opnieuw met een kritiek lek. Kort na bekendmaking heeft het blogplatform een update uitgerold om het gat te dichten.

Er is een nieuw lek onthuld waardoor miljoenen WordPress-websites gekaapt kunnen worden. Door deXSS-kwetsbaarheid kan een kwaadwillende hacker een volledige server waar het blogplatform op draait overnemen, door de wachtwoorden te wijzigen en nieuwe gebruikers aan te maken. Het gaat om de WordPress-versies 3.9.3, 4.1.1, 4.1.2 en 4.2.

Het lek kan misbruikt worden door code te injecteren in de commentaarsectie op een WordPress-website, en hier een enorme hoeveel tekst aan toe te voegen, het moet meer zijn dan 64 kb. Standaard publiceert WordPress nieuw commentaar niet automatisch totdat de eerste post van een gebruiker wordt goedgekeurd. Een aanvaller kan een administrator dus voor de gek houden door eerst een banaal commentaar te geven. Vanaf dat moment kunnen kwaadwillende reacties automatisch geplaatst worden.

Jouko Pynnonen uit Finland werkt voor beveiligingsbedrijf Klikki Oy. Hij maakt de proof-of-conceptcode waar mee het lek kan worden misbruikt. De zwakke plek is vergelijkbaar met een lek dat vorige week ontdekt werd. Pynnonen zegt dat hij de zero-daykwetsbaarheid publiekelijk bekend heeft gemaakt omdat WordPress op geen enkele van zijn pogingen tot contact sinds november 2014 is ingegaan.

Maandag lanceerde WordPress een kritieke veiligheidsupdate,versie 4.2.1. Daarmee wordt de zwakke plek aangepakt. Updaten is dus de boodschap voor wie gebruik maakt van een kwetsbare versie.

Lees meer over : nieuws, security, wordpress, zero day, xss

Advertenties

9 gedachten over “WordPress lek

  1. Wildcard

    Ja, ik las het, maar de gewone gebruikers (zij die de .com versie gebruiken) hoeven zich geen zorgen te maken. Het probleem is méér voor de mensen die de .org versie gebruiken waarbij je de software op je pc moet downloaden en/of met externe hosting werkt, die moeten dus hun versies nakijken en ZELF de nodige updates uitvoeren.

    Liked by 1 persoon

      1. Wildcard

        even verduidelijken : er zijn verschillende soorten WordPress

        .com versie = staat eigenlijk op de hoofdserver bij WP headquarters (ze moeten dus al WP headquarters plat leggen willen wij daar iets van merken)

        .org versie = eniger versie die met versie nummers werkt omdat elke gebruiker die versie moet downloaden en op zijn pc moet installeren + alle updates ZELF manueel moet installeren. Ook een reden waarom je voor deze versie zoveel skins of mooie achtergronden hebt, maar je moet wel alles zelf geïnstalleerd zien te krijgen. Het lek heeft dus ook met deze versie te maken.

        wie dus NIET de .org of een gemengde site (hosting van eigen url + wordpress) hoeft niets te doen.

        Like

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s