- Lid sinds
- 8 feb 2001
- Berichten
- 35.562
- Waarderingsscore
- 1.408
- Punten
- 113
- Leeftijd
- 61
- Locatie
- State Penitentiary
WordPress heeft een plug-in met meer dan 100.000 installaties wegens een beveiligingslek van de eigen downloadpagina verwijderd en adviseert beheerders van WordPress-sites hetzelfde te doen. De ontwikkelaar van de plug-in heeft namelijk aangegeven dat de kwetsbaarheid, waardoor websites in het ergste geval kunnen worden overgenomen, niet zal worden gepatcht.
Het gaat om de plug-in met de naam "Contact Form 7 Datepicker", die weer een uitbreiding van de plug-in "Contact Form 7" is. Via Contact Form 7 is het mogelijk voor WordPress-sites om meerdere contactformulieren te beheren. Met de Datepickerplug-in kunnen er datumkiezers aan het contactformulier worden toegevoegd. De plug-in is kwetsbaar voor cross-site scripting waardoor het mogelijk is om de sessie van de beheerder te stelen of een kwaadaardige beheerder toe te voegen.
Het beveiligingslek werd ontdekt door securitybedrijf Wordfence. De plug-in wordt echter niet meer door de ontwikkelaar onderhouden. Daarop waarschuwden de onderzoekers WordPress, dat de plug-in van de downloadpagina verwijderde. Beheerders van WordPress-sites krijgen hetzelfde advies.
@bron: security.nl
Het gaat om de plug-in met de naam "Contact Form 7 Datepicker", die weer een uitbreiding van de plug-in "Contact Form 7" is. Via Contact Form 7 is het mogelijk voor WordPress-sites om meerdere contactformulieren te beheren. Met de Datepickerplug-in kunnen er datumkiezers aan het contactformulier worden toegevoegd. De plug-in is kwetsbaar voor cross-site scripting waardoor het mogelijk is om de sessie van de beheerder te stelen of een kwaadaardige beheerder toe te voegen.
Het beveiligingslek werd ontdekt door securitybedrijf Wordfence. De plug-in wordt echter niet meer door de ontwikkelaar onderhouden. Daarop waarschuwden de onderzoekers WordPress, dat de plug-in van de downloadpagina verwijderde. Beheerders van WordPress-sites krijgen hetzelfde advies.
@bron: security.nl
