WordPress: populaire plug-in “WP Fastest Cache” heeft dringend een update nodig


De WP Fastest Cache plug-in voor het optimaliseren van de laadtijden van WordPress-websites bood aanvalsopties voor cross-site scripting (XSS) en SQL-injectie. Er is een update beschikbaar voor de meer dan een miljoen gebruikers van de cache-plug-in: WP Snelste Cache 0.9.5 elimineert de in alle eerdere versies bestaande veiligheidsproblemen.

Als u de plug-in nog niet heeft bijgewerkt, moet u dit zo snel mogelijk doen. Degenen die de kwetsbaarheden hebben ontdekt, beoordelen het beveiligingsrisico als “hoog” tot “kritiek”. De beveiligde versie is op de WP Snelste Cache-downloadsite beschikbaar.

EEN Blogbericht van het bedrijf Jetpack geeft details van de twee kwetsbaarheden, die vreemd genoeg dezelfde CVE-ID hebben (CVE-2021-24869), maar verschillende beschrijvingen en CVSS-scores (7,7 / “Hoog” en 9,6 / “Kritiek”).

De score 7,7 heeft betrekking op een mogelijkheid van SQL-injectie, die echter alleen onder bepaalde voorwaarden bestaat: De aanvaller moet zijn ingelogd als een “normale” gebruiker en dit moet ook gebeuren in de aangevallen WP-installatie “Klassieke Editor” plug-in geïnstalleerd. Als aan deze voorwaarden wordt voldaan, is het denkbaar dat gevoelige gegevens zoals gebruikersnamen in combinatie met wachtwoord-hashes kunnen worden ontsloten.

De aanvalsmogelijkheid van 9,6 bestaat ook zonder dergelijke beperkingen, maar vereist interactie van de gebruiker met de website: tijdens een zogenaamde cross-site request forgery-aanval is het mogelijk om acties uit te voeren met de rechten van de beheerder die verantwoordelijk voor de aanval tijdens de aanval werd geregistreerd. Bovendien zou de aanvaller permanent kwaadaardige code de betreffende website kunnen binnensmokkelen, die later bijvoorbeeld zou kunnen worden gebruikt voor “Stored XSS”-aanvallen.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: