WordPress heeft een beveiligingsupdate uitgebracht om zestien kwetsbaarheden aan te pakken en adviseert sites onmiddellijk te updaten.

Het beveiligingsadvies gaf geen beschrijving van de ernst van de kwetsbaarheden, maar gezien de soorten kwetsbaarheden die WordPress herkende en het grote aantal ervan, kan het een goed idee zijn om deze beveiligingsrelease serieus te nemen.

Kwetsbaarheden toegepast door WordPress

Deze beveiligingsrelease bevat in totaal zestien fixes die verschillende soorten kwetsbaarheden verhelpen.

Hier is een lijst met opgeloste kwetsbaarheden:

9 XSS-problemen, waarvan 6 opgeslagen XSS 2 E-mailgerelateerde kwetsbaarheden 1 Kwetsbaarheid van cross-site request forgery 1 SQL-injectie 1 Datablootstelling (REST-endpoint) 1 Open omleiding 1 Herstel instances van gebruikersshares (functie heeft vermoedelijk een kwetsbaarheid geïntroduceerd)

Zes opgeslagen XSS-kwetsbaarheden

Een opgeslagen XSS-kwetsbaarheid is een kwetsbaarheid waarbij de payload wordt geüpload en opgeslagen op de websiteservers van het slachtoffer.

Een XSS-kwetsbaarheid treedt over het algemeen overal op waar WordPress invoer of upload toestaat.

Dit type kwetsbaarheid ontstaat door een fout in de code waarbij het toegangspunt niet goed filtert wat kan worden geüpload, wat resulteert in de mogelijkheid om een ​​kwaadaardig script of een ander onverwacht bestand te uploaden.

De non-profit beveiligingssite Open Web Application Security Project (OWASP) beschrijft dit type kwetsbaarheid:

“Opgeslagen aanvallen zijn aanvallen waarbij het geïnjecteerde script permanent wordt opgeslagen op de doelservers, zoals een database, berichtenforum, bezoekerslogboek, opmerkingenveld, enz.

Het slachtoffer haalt het kwaadaardige script vervolgens op van de server bij het opvragen van de opgeslagen informatie.

Vervalsing van verzoeken tussen sites

Een cross-site request forgery (CSRF) is gebaseerd op een beetje social engineering om een ​​websitegebruiker op hoog niveau met beheerdersrechten te misleiden om een ​​actie uit te voeren, zoals het volgen van een link.

Dit type kwetsbaarheid kan ertoe leiden dat een beheerder acties onderneemt die de website kunnen compromitteren.

Het kan ook van invloed zijn op reguliere gebruikers van de website doordat een gebruiker zijn e-mailadres voor aanmelding wijzigt of geld opneemt.

Open de omleiding naar `wp_nonce_ays`

Een open omleiding is een fout waarbij een hacker kan profiteren van een omleiding.

In dit geval is het een omleiding gerelateerd aan een “weet u het zeker”-prompt om een ​​actie te bevestigen.

De officiële WordPress-beschrijving van deze functie is:

“Als de actie het bericht ‘nonce’ heeft, wordt dit weergegeven samen met het bericht ‘Weet je het zeker?’.

Een nonce is een beveiligingstoken dat door uw WordPress-site wordt gegenereerd.

De officiële WordPress-codex definieert bruiloften:

“Een nonce is een ‘eenmalig gebruikt nummer’ om URL’s en formulieren te beschermen tegen bepaalde vormen van misbruik, kwaadaardig of anderszins.

WordPress-huwelijken zijn geen cijfers, ze zijn een hash van cijfers en letters.

…WordPress-beveiligingstokens worden “nonces” genoemd … omdat ze hetzelfde doel dienen als nonces.

Ze helpen beschermen tegen verschillende soorten aanvallen, waaronder CSRF, maar beschermen niet tegen replay-aanvallen omdat ze niet worden gecontroleerd voor eenmalig gebruik.

Er mag nooit op nonces worden vertrouwd voor authenticatie, autorisatie of toegangscontrole.

Bescherm uw functies door current_user_can() te gebruiken en ga er altijd van uit dat de bruiloft in gevaar kan komen.

WordPress beschrijft niet precies wat deze kwetsbaarheid is.

Maar Google heeft een beschrijving gepubliceerd van wat een open omleidingskwetsbaarheid is:

“Dit is een bijzonder lastige vorm van misbruik omdat het misbruik maakt van de functionaliteit van je site in plaats van een simpele bug of beveiligingsfout uit te buiten.

Spammers hopen uw domein te gebruiken als tijdelijke “landingspagina” om e-mailgebruikers, zoekers en zoekmachines te misleiden om links te volgen die naar uw site lijken te verwijzen, maar in werkelijkheid naar hun site doorverwijzen.

Als je bedenkt hoe dit beveiligingslek een gevoelige functie met betrekking tot beveiliging en toegang beïnvloedt, kan het behoorlijk ernstig zijn.

SQL-injectie vanwege onjuiste opschoning in `WP_Date_Query`

Dit is een type kwetsbaarheid waarbij de aanvaller gegevens rechtstreeks in de database kan invoeren.

Een database is in feite het hart van een WordPress-site, het is waar wachtwoorden, berichten, enz. Worden opgeslagen.

Onjuiste desinfectie is een verwijzing naar een beveiligingscontrole die zou moeten beperken wat kan worden ingevoerd.

SQL-injectie-aanvallen worden als zeer ernstig beschouwd omdat ze de website kunnen compromitteren.

OWASP waarschuwt:

“SQL-injectie-aanvallen stellen aanvallers in staat om identiteit te vervalsen, bestaande gegevens te manipuleren, afwijzingsproblemen te veroorzaken, zoals het ongeldig maken van transacties of het wijzigen van saldi, volledige openbaarmaking van alle systeemgegevens mogelijk te maken, gegevens te vernietigen of die anderszins niet beschikbaar te maken en databaseserverbeheerders te worden.

… De ernst van SQL-injectie-aanvallen wordt beperkt door de vaardigheid en verbeeldingskracht van de aanvaller en, in mindere mate, door diepgaande tegenmaatregelen zoals low-privileged verbindingen met de databaseserver, enz. . Over het algemeen beschouw SQL-injectie als een hoge impact-ernst.”

WordPress beveiligingsversie

De WordPress-waarschuwing zei dat deze beveiligingsupdate van invloed is op alle versies van WordPress 3.7.

Nergens in de aankondiging gaf het details over de ernst van de kwetsbaarheden.

Het is echter waarschijnlijk niet overdreven om te zeggen dat zestien van de kwetsbaarheden, waaronder zes opgeslagen XSS- en één SQL-injection-kwetsbaarheid, reden tot zorg zijn.

WordPress raadt aan websites onmiddellijk bij te werken.

citaten

Officiële beschrijving van kwetsbaarheden toegepast door WordPress 6.0.3

Versie 6.0.3

Lees de officiële release-aankondiging

WordPress 6.0.3 is nu beschikbaar!

Uitgelichte afbeelding door Shutterstock/Pixel-Shot

Source link