Lek gevonden in Gutenberg add-on voor Wordpress
Zeker 750.000 WordPress-sites zijn kwetsbaar door twee beveiligingslekken in de plug-in met de naam Gutenberg Template Library & Redux Framework. De lekken zijn ontdekt door securitybedrijf Wordfence. Met de uitbreiding kunnen beheerder van WordPress-sites allerlei templates en blokken toevoegen. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker met beperkte rechten om toegang te krijgen tot het beheer van alle pagina's en berichten die in het CMS geplaatst zijn.
Het tweede beveiligingslek maakt het voor iedereen mogelijk om technische gegevens over de website te achterhalen, waaronder de PHP-versie, geïnstalleerde plug-ins, het versienummer en een niet-gesalte md5-hash van de auth_key en secure_auth_key. Deze digitale sleutels worden gebruikt voor het doorvoeren van aanpassingen aan de website, en kunnen volgens het beveiligingsbedrijf verder worden gebruikt voor nieuwe aanvallen.
Beide kwetsbaarheden werden op 3 augustus aan de ontwikkelaars gerapporteerd, die op 11 augustus een beveiligingsupdate uitrolden met versienummer 4.2.13. De Gutenberg-plug-in is op meer dan 1 miljoen WordPress-sites geïnstalleerd. De beveiligingslekken zijn aanwezig in versie 4.2.11 en ouder. Beheerders wordt aangeraden om direct een update te doen naar de nieuwste versie van de plugins.
Gerelateerde nieuwsberichten
01/09/2024 WooCommerce plugin voor wenslijsten vatbaar voor misbruik
28/06/2023 Lek ontdekt in module voor leeromgevingen voor Wordpress
15/06/2023 Bestelgegevens duizenden webwinkels via onveilige betaalplug-in te achterhalen
Om te reageren heb je een account nodig en je moet ingelogd zijn.