Miljoenen WordPress-sites lopen risico na nieuw zero-daylek
Er is een nieuw lek onthuld waardoor miljoenen WordPress-websites gekaapt kunnen worden. Door de XSS-kwetsbaarheid kan een kwaadwillende hacker een volledige server waar het blogplatform op draait overnemen, door de wachtwoorden te wijzigen en nieuwe gebruikers aan te maken. Het gaat om de WordPress-versies 3.9.3, 4.1.1, 4.1.2 en 4.2.
Het lek kan misbruikt worden door code te injecteren in de commentaarsectie op een Wordpress-website, en hier een enorme hoeveel tekst aan toe te voegen, het moet meer zijn dan 64 kb. Standaard publiceert WordPress nieuw commentaar niet automatisch totdat de eerste post van een gebruiker wordt goedgekeurd. Een aanvaller kan een administrator dus voor de gek houden door eerst een banaal commentaar te geven. Vanaf dat moment kunnen kwaadwillende reacties automatisch geplaatst worden.
[related_article id=”162330″]
Jouko Pynnonen uit Finland werkt voor beveiligingsbedrijf Klikki Oy. Hij maakt de proof-of-conceptcode waar mee het lek kan worden misbruikt. De zwakke plek is vergelijkbaar met een lek dat vorige week ontdekt werd. Pynnonen zegt dat hij de zero-daykwetsbaarheid publiekelijk bekend heeft gemaakt omdat WordPress op geen enkele van zijn pogingen tot contact sinds november 2014 is ingegaan.
Maandag lanceerde WordPress een kritieke veiligheidsupdate, versie 4.2.1. Daarmee wordt de zwakke plek aangepakt. Updaten is dus de boodschap voor wie gebruik maakt van een kwetsbare versie.