WordPress dicht lekken die toegang tot websites kunnen geven

[Captain Kirk]

Er is een nieuwe versie van WordPress verschenen die meerdere kwetsbaarheden verhelpt waardoor een aanvaller toegang tot websites had kunnen krijgen. WordPress 5.2.3 verhelpt in totaal acht beveiligingslekken, waarvan zeven keer cross-site scripting (XSS).

Bij XSS plaatst een aanvaller code op een website die vervolgens in de browser van bezoekers wordt uitgevoerd. De nu verholpen XSS-lekken zijn dan ook voornamelijk een probleem voor websites die bezoekers en gebruikers toestaan om reacties te plaatsen. Een aanvaller zou een reactie met XSS-code kunnen achterlaten. Zodra de beheerder dit bericht bekijkt wordt de XSS-code in zijn browser uitgevoerd en kan de aanvaller een nieuwe beheerder aanmaken. Een andere aanvalsvector voor de XSS-lekken is het sturen van een kwaadaardige link naar een ingelogde beheerder.

De achtste kwetsbaarheid betrof een open redirect waardoor gebruikers naar andere url's konden worden doorgestuurd. WordPress ging niet goed om met het valideren en sanitizen van een url, waardoor een open redirect mogelikj was. Zodoende had een aanvaller een link kunnen maken die begon met de vertrouwde kwetsbare website, maar vervolgens zou uitkomen op een malafide site. Dergelijke kwetsbaarheden worden vaak bij phishingaanvallen gebruikt, stelt securitybedrijf Wordfence. Updaten naar WordPress 5.2.3 kan via de automatische updatefunctie of het WordPress-dashboard.

 

 

bron: security.nl