WordPress site-eigenaren die gebruik maken van de Eenvoudige Knoppen van Sociale plugin ter ondersteuning van de sociale media functies voor het delen van een update van de plugin zo snel mogelijk te sluiten een gat in de beveiliging die kunnen worden benut om over te nemen sites.
Luka Šikić, een ontwikkelaar en onderzoeker bij WordPress security bedrijf WebARX, ontdekte de beveiligingsprobleem laatste week gemeld dat het probleem van de plugin auteur.
In een vandaag gepubliceerd rapport, beschrijft hij de kwestie als een “verkeerde toepassing van ontwerp-flow, vastgeketend met het ontbreken van toestemming controleren.”
Hij zegt dat een aanvaller die kan het registreren van nieuwe accounts op een website kan dit beveiligingslek misbruiken om aanpassingen te maken naar een WordPress site de belangrijkste instellingen, buiten wat de plugin is in eerste instantie bedoeld om te beheren.
Deze wijzigingen kunnen een aanvaller over te nemen van sites door het installeren van achterdeuren of over te nemen admin accounts.
In een demo video postte hij op YouTube vandaag, Šikić liet zien hoe gevaarlijk de kwetsbaarheid is door het veranderen van het e-mailadres dat is gekoppeld aan een WordPress site admin-account.
Šikić zegt hij aangemelde WPBrigade, het bedrijf achter de plugin, vorige week, en ze een patch uitgebracht, een dag na zijn verslag.
Gebruikers worden geadviseerd om het installeren van Eenvoudige Knoppen van Sociale versie 2.0.22, uitgebracht afgelopen vrijdag, februari 8.
Het probleem moet niet lichtvaardig worden genomen vanwege de gevolgen. Sommige sites zijn van nature beschermd tegen dit beveiligingslek, als hun beheerders hebben al geblokkeerd gebruiker registratie om veiligheidsredenen.
Echter, sites die gebruikers laten registreren om commentaar te posten op blog posts zijn kwetsbaar voor aanvallen en dient de toepassing van de plugin update zo snel als mogelijk.
De plugin is geïnstalleerd op meer dan 40.000 websites, volgens de statistieken van de officiële WordPress Plugins archief, waardoor het een aantrekkelijk doelwit voor WordPress botnet-exploitanten.
Verwante zekerheid:
Google waarschuwt over twee iOS-zero-days ‘in het wild misbruik’New TLS encryptie-busting aanval heeft ook gevolgen voor de nieuwere TLS 1.3 Microsoft: 70 procent van alle security bugs zijn geheugen veiligheid
Nieuwe macOS zero-day maakt diefstal van gebruiker passwordsMicrosoft: Verbeterde beveiligingsfuncties zijn het uitstellen van aanvallen van hackers op Windows-gebruikers
Nieuwe lek effecten 5G, 4G en 3G-telefonie protocollen
Google wil betalen u $15.000, – bij aan het verbeteren van cloud security TechRepublicKRACK aanval: Hier is hoe bedrijven reageren CNET
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters