WordPress-websites via XSS-kwetsbaarheden over te nemen

[Captain Kirk]

Op WordPress gebaseerde websites zijn door middel van verschillende cross-site scripting (XSS)-kwetsbaarheden over te nemen. WordPress heeft een beveiligingsupdate uitgebracht om de problemen te verhelpen. Met WordPress 6.0.3 worden in totaal vijftien kwetsbaarheden opgelost. De impact van drie van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 8.8.

Het gaat om drie XSS-problemen, waarvan één in de media library in WordPress volgens securitybedrijf Wordfence het gevaarlijkst is. Deze kwetsbaarheid maakt reflected cross-site scripting mogelijk, waarmee een aanvaller de inhoud van cookies van bijvoorbeeld de beheerder kan stelen, om vervolgens daarmee toegang tot het beheerderspaneel te krijgen. Misbruik van dit beveiligingslek vereist geen authenticatie. Wel enige social engineering, zoals een beheerder een malafide link laten openen.

Volgens Ram Gall van Wordfence zullen de nu verholpen kwetsbaarheden niet op grote schaal worden misbruikt, maar bieden een meer ervaren aanvaller wel de mogelijkheid om waardevollere websites aan te vallen. Beheerders worden dan ook aangeraden om naar WordPress 6.0.3 te updaten. Volgens cijfers van W3Techs draait 43 procent van alle websites op internet op WordPress.

 

bron: https://www.security.nl