WordPress verwijdert plug-in met 100.000 installaties wegens lek

Black Tiger

Addicted Member
Administrator
Moderator
Lid sinds
8 feb 2001
Berichten
34.774
Waarderingsscore
999
Punten
113
Leeftijd
60
Locatie
State Penitentiary
WordPress heeft een plug-in met meer dan 100.000 installaties wegens een beveiligingslek van de eigen downloadpagina verwijderd en adviseert beheerders van WordPress-sites hetzelfde te doen. De ontwikkelaar van de plug-in heeft namelijk aangegeven dat de kwetsbaarheid, waardoor websites in het ergste geval kunnen worden overgenomen, niet zal worden gepatcht.

Het gaat om de plug-in met de naam "Contact Form 7 Datepicker", die weer een uitbreiding van de plug-in "Contact Form 7" is. Via Contact Form 7 is het mogelijk voor WordPress-sites om meerdere contactformulieren te beheren. Met de Datepickerplug-in kunnen er datumkiezers aan het contactformulier worden toegevoegd. De plug-in is kwetsbaar voor cross-site scripting waardoor het mogelijk is om de sessie van de beheerder te stelen of een kwaadaardige beheerder toe te voegen.

Het beveiligingslek werd ontdekt door securitybedrijf Wordfence. De plug-in wordt echter niet meer door de ontwikkelaar onderhouden. Daarop waarschuwden de onderzoekers WordPress, dat de plug-in van de downloadpagina verwijderde. Beheerders van WordPress-sites krijgen hetzelfde advies.

@bron: security.nl

 



Hosting Fun

Advertenties

Terug
Bovenaan Onderaan