WordPress-sites kwetsbaar door lek in plug-in Limit Login Attempts

[Captain Kirk]

Honderdduizenden WordPress-sites zijn door een beveiligingslek in de plug-in Limit Login Attempts kwetsbaar voor aanvallen. Er is inmiddels een beveiligingsupdate uitgebracht, maar zo'n half miljoen websites hebben die nog niet geïnstalleerd. Limit Login Attempts moet bruteforce-aanvallen op WordPress-sites bemoeilijken. De plug-in zorgt ervoor dat ip-adressen na een aantal mislukte inlogpogingen op een blacklist worden geplaatst en niet meer mogen inloggen.

Limit Login Attempts is op meer dan 600.000 WordPress-sites actief. Een cross-site scripting-kwetsbaarheid in de plug-in, aangeduid als CVE-2023-1912, maakt het mogelijk voor aanvallers om de website over te nemen. Het beveiligingslek maakt het namelijk mogelijk om malafide JavaScript aan de database van de plug-in toe te voegen, die automatisch wordt uitgevoerd wanneer de beheerder de loggingpagina bekijkt, zo meldt securitybedrijf Wordfence.

Vorige week verscheen versie 1.7.2, waarin het probleem is verholpen. In de beschrijving van deze versie wordt alleen gesproken over "security fixes". Sinds de update uitkwam is Limit Login Attempts zo'n honderdduizend keer gedownload, wat inhoudt dat nog zo'n vijfhonderdduizend websites de update missen.

 

bron: https://www.security.nl