750.000 WordPress-sites kwetsbaar door lekken in Gutenberg-plug-in

[Captain Kirk]

Zeker 750.000 WordPress-sites zijn kwetsbaar door twee beveiligingslekken in een plug-in genaamd Gutenberg Template Library & Redux Framework. Via deze uitbreiding kunnen WordPress-sites allerlei templates en blokken toevoegen. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker met beperkte rechten om willekeurige plug-ins te installeren en activeren, alsmede willekeurige berichten en pagina's te verwijderen.

Het tweede beveiligingslek maakt het mogelijk voor een ongeauthenticeerde aanvaller om allerlei informatie over de website te achterhalen, zoals PHP-versie, geïnstalleerde plug-ins en versienummer en een niet-gesalte md5-hash van de auth_key en secure_auth_key. Deze keys worden gebruikt voor het doorvoeren van aanpassingen aan de website. Volgens securitybedrijf Wordfence, dat beide kwetsbaarheden ontdekte, kan een aanvaller dit laatste lek voor verdere aanvallen gebruiken.

Beide kwetsbaarheden werden op 3 augustus aan de ontwikkelaars gerapporteerd, die op 11 augustus een beveiligingsupdate uitrolden met versienummer 4.2.13. De Gutenberg-plug-in is op meer dan 1 miljoen WordPress-sites geïnstalleerd. De beveiligingslekken zijn aanwezig in versie 4.2.11 en ouder. 750.000 websites draaien echter versie 4.1 of ouder en zijn dan ook kwetsbaar.

Zo'n 250.000 websites draaien versie 4.2.x van de plug-in. WordPress toont echter geen exacte versienummers, waardoor het aantal kwetsbare websites met een oude 4.2.x-versie onduidelijk is. Beheerders wordt aangeraden naar de laatste versie te updaten.

 

bron: https://www.security.nl