WordPress dicht drie kritieke lekken in software

Abonneer je gratis op Techzine!

WordPress heeft afgelopen week een beveiligingsupdate uitgebracht, versie 4.7.2, waarin drie grote kritieke beveiligingslekken zijn gedicht. Het gaat om een probleem met crosssite scripting (XSS) en SQL-injectie problemen die zouden kunnen leiden tot nieuwe beveiligingslekken. De lekken zijn aanwezig in WordPress-versies 4.7.1 en ouder.

WordPress adviseert gebruikers van het CMS om zo snel mogelijk de software bij te werken van 4.7.2. omdat het gaat om drie beveiligingslekken die een grote impact kunnen hebben wanneer ze worden misbruikt. Zeker nu bekend is geworden om wat voor soort lekken het gaat en waar ze in zaten is het een kwestie van tijd voordat cybercriminelen ermee aan de haal gaan.

De eerste bug zat in de gebruikersinterface waar er taxonomy termen worden toegekend aan bijvoorbeeld een bericht. Hier hebben normale of anonieme bezoekers in principe geen toegang toe, de tweede bug zat echter in de WP_Query functie die door de hele software wordt gebruikt om informatie weg te schrijven of op te halen uit de database. Wanneer data werd opgemerkt als onveilig was het ook mogelijk om een SQL-injectie toe te passen.

Hoewel het niet heel makkelijk is om misbruik te maken van deze beveiligingslekken is het team achter WordPress van mening dat in de nieuwe versie de nodige extra veiligheidsmaatregelen zijn genomen om misbruik tegen te gaan, zelfs als het mogelijk per ongeluk gebeurd door een plugin of thema.

Tot slot was er ook nog een XSS-kwestsbaarheid gevonden in de lijst met berichten in de back-end van het CMS. In WordPress-versie 4.7.1. werden ook al acht beveiligingsproblemen opgelost, nu nog eens drie, mocht je nog draaien op WordPress 4.6.x dan wordt het de hoogste tijd om een patchavond of nacht in te plannen. Mocht je dat normaliter niet zelf doen, dan kan je informeren bij je webhostingprovider of webdesignbureau wanneer ze dit gaan doen.