WordPress heeft een beveiligingsrelease uitgebracht om meerdere kwetsbaarheden aan te pakken die zijn ontdekt in WordPress-versies vóór 6.0.3. WordPress heeft ook alle versies bijgewerkt sinds WordPress 3.7.
Cross-Site Scripting (XSS) beveiligingslek.
De National Vulnerability Database van de Amerikaanse overheid heeft waarschuwingen gepubliceerd over meerdere kwetsbaarheden die van invloed zijn op WordPress.
Er zijn verschillende soorten kwetsbaarheden die van invloed zijn op WordPress, waaronder een type dat bekend staat als Cross Site Scripting, ook wel XSS genoemd.
Een cross-site scripting-kwetsbaarheid ontstaat meestal wanneer een webtoepassing zoals WordPress niet goed controleert (schoonmaakt) wat er in een formulier is ingevoerd of is geladen via een uploadinvoer.
Een aanvaller kan een kwaadaardig script sturen naar een gebruiker die de site bezoekt, vervolgens het kwaadaardige script uitvoeren en vervolgens gevoelige informatie of cookies met gebruikersreferenties aan de aanvaller verstrekken.
Een andere ontdekte kwetsbaarheid heet Stored XSS, die over het algemeen als erger wordt beschouwd dan een gewone XSS-aanval.
Bij een opgeslagen XSS-aanval wordt het kwaadaardige script op de website zelf opgeslagen en uitgevoerd wanneer een (ingelogde) gebruiker de website bezoekt.
Een derde ontdekte kwetsbaarheid wordt cross-site request forgery (CSRF) genoemd.
De non-profit beveiligingswebsite Open Web Application Security Project (OWASP) beschrijft dit type kwetsbaarheid:
“Cross-Site Request Forgery (CSRF) is een aanval die een eindgebruiker dwingt om ongewenste acties uit te voeren op een webapplicatie waarin hij momenteel is geauthenticeerd.
Met een beetje hulp van social engineering (zoals het verzenden van een link via e-mail of chat) kan een aanvaller gebruikers van een webtoepassing misleiden om acties te ondernemen naar keuze van de aanvaller.
Als het slachtoffer een normale gebruiker is, kan een succesvolle CSRF-aanval de gebruiker dwingen om statuswijzigingsverzoeken uit te voeren, zoals het overmaken van geld, het wijzigen van zijn e-mailadres, enz.
Als het slachtoffer een administratief account is, kan CSRF de hele webapplicatie in gevaar brengen.”
Dit zijn de ontdekte kwetsbaarheden:
XSS opgeslagen via wp-mail.php (e-mailbericht) Open omleiding naar `wp_nonce_ays` E-mailadres van afzender zichtbaar in wp-mail.php mediabibliotheek – Weerspiegeld XSS via SQLi Cross-Site Request Forgery (CSRF) in wp-trackback. php XSS opgeslagen via customizer Herstel gedeelde gebruikersinstanties geïntroduceerd in 50790 XSS opgeslagen in WordPress Core via bewerken van opmerkingen Gegevensblootstelling via REST Eindpunttermen/tags E-mailinhoud van meerdere partijen gelekt SQL-injectie vanwege slechte opschoning in `WP_Date_Query` RSS-widget: opgeslagen XSS Opgeslagen XSS-probleem in zoekblok Feature Image Block: XSS-probleem RSS Blog: Opgeslagen XSS-probleem Fix Widget Block XSS
Aangeraden actie
WordPress raadde alle gebruikers aan hun websites onmiddellijk bij te werken.
De officiële WordPress-aankondiging zei:
“Deze release bevat verschillende beveiligingsreparaties. Aangezien dit een beveiligingsrelease is, wordt aanbevolen dat u uw sites onmiddellijk bijwerkt.
Alle versies sinds WordPress 3.7 zijn ook geüpdatet.
Lees hier de officiële WordPress-aankondiging:
WordPress-beveiligingsversie 6.0.3
Lees de National Vulnerability Database-vermeldingen voor deze kwetsbaarheden:
CVE-2022-43504
CVE-2022-43500
CVE-2022-43497
Uitgelichte afbeelding door Shutterstock/Asier Romero
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
