fbpx

WordPress getroffen door meerdere kwetsbaarheden in versies ouder dan 6.0.3

WordPress getroffen door meerdere kwetsbaarheden in versies ouder dan 6.0.3

Share This Post


WordPress heeft een beveiligingsrelease uitgebracht om meerdere kwetsbaarheden aan te pakken die zijn ontdekt in WordPress-versies vóór 6.0.3. WordPress heeft ook alle versies bijgewerkt sinds WordPress 3.7.

Cross-Site Scripting (XSS) beveiligingslek.

De National Vulnerability Database van de Amerikaanse overheid heeft waarschuwingen gepubliceerd over meerdere kwetsbaarheden die van invloed zijn op WordPress.

Er zijn verschillende soorten kwetsbaarheden die van invloed zijn op WordPress, waaronder een type dat bekend staat als Cross Site Scripting, ook wel XSS genoemd.

Een cross-site scripting-kwetsbaarheid ontstaat meestal wanneer een webtoepassing zoals WordPress niet goed controleert (schoonmaakt) wat er in een formulier is ingevoerd of is geladen via een uploadinvoer.

Een aanvaller kan een kwaadaardig script sturen naar een gebruiker die de site bezoekt, vervolgens het kwaadaardige script uitvoeren en vervolgens gevoelige informatie of cookies met gebruikersreferenties aan de aanvaller verstrekken.

Een andere ontdekte kwetsbaarheid heet Stored XSS, die over het algemeen als erger wordt beschouwd dan een gewone XSS-aanval.

Bij een opgeslagen XSS-aanval wordt het kwaadaardige script op de website zelf opgeslagen en uitgevoerd wanneer een (ingelogde) gebruiker de website bezoekt.

Een derde ontdekte kwetsbaarheid wordt cross-site request forgery (CSRF) genoemd.

De non-profit beveiligingswebsite Open Web Application Security Project (OWASP) beschrijft dit type kwetsbaarheid:

“Cross-Site Request Forgery (CSRF) is een aanval die een eindgebruiker dwingt om ongewenste acties uit te voeren op een webapplicatie waarin hij momenteel is geauthenticeerd.

Met een beetje hulp van social engineering (zoals het verzenden van een link via e-mail of chat) kan een aanvaller gebruikers van een webtoepassing misleiden om acties te ondernemen naar keuze van de aanvaller.

Als het slachtoffer een normale gebruiker is, kan een succesvolle CSRF-aanval de gebruiker dwingen om statuswijzigingsverzoeken uit te voeren, zoals het overmaken van geld, het wijzigen van zijn e-mailadres, enz.

Als het slachtoffer een administratief account is, kan CSRF de hele webapplicatie in gevaar brengen.”

Dit zijn de ontdekte kwetsbaarheden:

XSS opgeslagen via wp-mail.php (e-mailbericht) Open omleiding naar `wp_nonce_ays` E-mailadres van afzender zichtbaar in wp-mail.php mediabibliotheek – Weerspiegeld XSS via SQLi Cross-Site Request Forgery (CSRF) in wp-trackback. php XSS opgeslagen via customizer Herstel gedeelde gebruikersinstanties geïntroduceerd in 50790 XSS opgeslagen in WordPress Core via bewerken van opmerkingen Gegevensblootstelling via REST Eindpunttermen/tags E-mailinhoud van meerdere partijen gelekt SQL-injectie vanwege slechte opschoning in `WP_Date_Query` RSS-widget: opgeslagen XSS Opgeslagen XSS-probleem in zoekblok Feature Image Block: XSS-probleem RSS Blog: Opgeslagen XSS-probleem Fix Widget Block XSS

Aangeraden actie

WordPress raadde alle gebruikers aan hun websites onmiddellijk bij te werken.

De officiële WordPress-aankondiging zei:

“Deze release bevat verschillende beveiligingsreparaties. Aangezien dit een beveiligingsrelease is, wordt aanbevolen dat u uw sites onmiddellijk bijwerkt.

Alle versies sinds WordPress 3.7 zijn ook geüpdatet.

Lees hier de officiële WordPress-aankondiging:

WordPress-beveiligingsversie 6.0.3

Lees de National Vulnerability Database-vermeldingen voor deze kwetsbaarheden:

CVE-2022-43504

CVE-2022-43500

CVE-2022-43497

Uitgelichte afbeelding door Shutterstock/Asier Romero



Source link

More To Explore

WACHT! VOORDAT JE GAAT...

Geef me jouw E-mail Address, en dan stuur ik je een GRATIS kopie van mijn boek, waarin ik je laat zien hoe je jouw inkomen kan verdubbelen in 90 dagen!