Hiaten in plug-ins van Gutenberg-sjablonen brengen een miljoen WordPress-websites in gevaar


Talloze websites zijn kwetsbaar vanwege twee beveiligingslekken in de WordPress plug-in Gutenberg Template Library & Redux Framework. Na succesvolle aanvallen kunnen aanvallers bijvoorbeeld plug-ins met kwaadaardige code installeren of berichten verwijderen.

Volgens de officiële WordPress-plug-inwebsite de software heeft meer dan een miljoen actieve installaties. Hiermee kun je onder andere templates voor website-ontwerpen beheren en gebruiken. Beheerders moeten ervoor zorgen dat ze versie 4.2.13 hebben geïnstalleerd. De ontwikkelaars stellen dat de twee kwetsbaarheden (CVE-2021-38312, “hoog“, CVE-2021-38314,”midden-“) te hebben gesloten.

Vanwege onvoldoende controles in de WordPress REST API, kan een aanvaller die als auteur is geregistreerd, plug-ins uit de WordPress-repository installeren. Als hij daar met kwaadaardige code voorbereide software uploadt, kan dit na installatie de overname van een website in gang zetten.

Door succesvol gebruik te maken van de tweede maas in de wet, kon een aanvaller toegang krijgen tot configuratie-informatie van websites die daadwerkelijk waren afgesloten. De ontdekkers van de hiaten in Wordfence staat in een berichtdat de plug-inontwikkelaars binnen een week een beveiligingspatch hebben uitgebracht.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: