Home / Kwetsbaarheid gevonden in meerdere WordPress plugins

Kwetsbaarheid gevonden in meerdere WordPress plugins

12 mei 2015 - 00:00u - 2 minuten leestijd

Enige tijd geleden zijn er kwetsbaarheden ontdekt in diverse WordPress plugins. Door verkeerd gebruik van de functies add_query_arg() en remove_query_arg() konden deze plugins misbruikt worden.

Cross-site scripting (XSS) lek

De kwetsbaarheden bevinden zich in een zogeheten XSS lek. Door deze kwetsbaarheden kunnen ongeautoriseerde gebruikers code injecteren waarbij bijvoorbeeld (klant)gegevens kunnen worden ingezien of administrator rechten worden verkregen.

Helaas is gebleken dat veel plugins de functies add_query_arg() en remove_query_arg() verkeerd gebruiken waardoor de plugins misbruikt kunnen worden. Gelukkig hebben veel plugins dit lek inmiddels gedicht en een update beschikbaar gesteld.

Bron: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Lijst van geïnfecteerde plugins:

Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
en mogelijk nog meer..

Ook thema’s geïnfecteerd

Helaas is geconstateerd dat er ook thema’s geïnfecteerd zijn, het is dus raadzaam deze ook te updaten of de ontwikkelaar te raadplegen.
De default theme ‘Twenty Fifteen’ is hier een voorbeeld van, deze is geïnfecteerd via de Genericons icon font set. Op de changelog van WordPress 4.2.2 lees je hier meer over.