WordPress brengt beveiligingsupdate uit voor SQL-injection kwetsbaarheid

[Captain Kirk]

WordPress, het platform waar 43 procent van alle websites op draait, heeft een beveiligingsupdate uitgebracht die meerdere beveiligingslekken verhelpt, waaronder een SQL-injection kwetsbaarheid. Het beveiligingslek bevindt zich in de WordPress Link-functionaliteit, die eerder nog bekendstond als "Bookmarks". Deze functionaliteit staat bij nieuwere WordPress-installaties niet meer standaard ingeschakeld. Bij oudere installaties is dat wel het geval, waardoor mogelijk miljoenen websites risico lopen, zo waarschuwt securitybedrijf Wordfence.

Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen, of juist kwaadaardige code toe te voegen.

Om misbruik van het lek te maken, dat nog geen CVE-nummer heeft, moet een aanvaller over adminrechten beschikken, hoewel misbruik ook via third-party plug-ins of themes mogelijk is, waardoor een aanvaller over minder hoge rechten hoeft te beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.0. Eigenaren van een WordPress-site worden aangeraden om te updaten naar WordPress 6.0.2, wat op websites met automatische updates automatisch zal plaatsvinden.

 

bron: https://www.security.nl