WordPress plug-in WP Reset Pro repareert kritieke beveiligingslekken


Door een beveiligingslek in de WordPress WP Reset Pro plug-in was het voor geregistreerde gebruikers zonder voldoende rechten mogelijk om er hele websites mee te verwijderen. De software helpt bijvoorbeeld web- en themaontwikkelaars om snel eventuele wijzigingen in WordPress te resetten. De gratis versie van de plug-in heeft al meer dan 300.000 installaties, de fabrikant spreekt zelfs van meer dan 400.000; de getroffen Pro-versie is waarschijnlijk niet zo gebruikelijk.

Patchstack IT-beveiligingsexperts hebben de inbreuk op de beveiliging (CVE-2021-36909, CVSS 8.8) en rechtstreeks gerapporteerd aan de fabrikant van de plug-in. Na een wachttijd van 6 weken heeft Patchstack nu een artikel met details gepubliceerd. Dit had de gebruikers van de plug-in voldoende tijd moeten geven om te updaten naar de beschikbare, bug-fixed versie.

Volgens de beveiligingsonderzoekers heeft de WP Reset-plug-in in de Pro-versie noch de machtigingen, noch het willekeurige eenmalige token van de sessie correct gecontroleerd. En dit ondanks het feit dat de plug-in verwijderbewerkingen uitvoert in de beheerderscontext. Dienovereenkomstig kan iedereen die toegang heeft tot opmerkingen, bijvoorbeeld een parameter instellen zoals: %%wp en dus alle tabellen in de database met het voorvoegsel wp verwijderen. Hiermee wordt de WordPress-instantie zo ver teruggezet dat WordPress opnieuw wordt ingesteld wanneer u de site bezoekt.

Gebruikers van de WP Reset Pro-plug-in moeten de beschikbare update onmiddellijk naar versie 5.99 of nieuwer importeren. De fout lijkt niet aanwezig te zijn in de gratis versie; hier is geen actie van de kant van de WordPress-beheerders vereist.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: