WordPress dicht lek dat aanvaller bestanden liet verwijderen

[Captain Kirk]

WordPress heeft een belangrijke beveiligingsupdate uitgebracht die een kwetsbaarheid verhelpt waardoor kwaadwillende gebruikers bestanden buiten de upload-directory konden verwijderen en wanneer er aan bepaalde voorwaarden werd voldaan ook de website konden overnemen.

Om de aanval uit te voeren moest een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" was al voldoende om de kwetsbaarheid te misbruiken. De kwetsbaarheid werd meer dan 7 maanden geleden aan WordPress gerapporteerd en eind juni door een securitybedrijf openbaar gemaakt, aangezien er nog steeds geen update beschikbaar was.

Naast de kwetsbaarheid zijn in WordPress 4.9.7 ook zeventien niet security-gerelateerde bugs verholpen. Beheerders van WordPress-sites krijgen het advies om direct hun websites te updaten. Dit kan via WordPress.org en de automatische updatefunctie van het contentmanagementsysteem. WordPress draait op 30 procent van alle websites.

 

 

bron: security.nl