Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WordPress kampt voor tweede week op rij met ernstig xss-lek

Net als vorige week kampt WordPress met een ernstig cross site scripting-lek, waarmee een aanvaller de controle over een WordPress-installatie kan overnemen. Er is exploitcode verschenen die kan worden misbruikt. WordPress heeft in allerijl een beveiligingsupdate uitgebracht.

In feite gaat het om twee beveiligingsproblemen, maar slechts een van de twee treft WordPress 4.2, de nieuwste versie van de populaire cms-tool; de andere werkt alleen op oudere versies. De bugs bevinden zich in de commentsectie van WordPress; een aanvaller kan zijn eigen html-code achterlaten in een reactie, waarna die wordt geladen als andere gebruikers op de pagina komen. Dat ontdekte een Finse beveiligingsonderzoeker.

Op die manier kan een aanvaller bijvoorbeeld code injecteren die cookies van gebruikers steelt. Ook kan code worden toegevoegd die, wanneer de reactie wordt bekeken door een gebruiker die de beheerder van de WordPres-installatie is, bijvoorbeeld het wachtwoord van de beheerder wijzigt. Vervolgens zou een aanvaller de WordPress-installatie over kunnen nemen.

De Finse beveiligingsonderzoeker die het probleem ontdekte heeft een proof of concept gepubliceerd, die door kwaadwillenden zou kunnen worden misbruikt. Ook zijn er volgens hem aanwijzingen dat de bug al wordt misbruikt. WordPress heeft daarom maandag in allerijl een beveiligingsupdate uitgebracht.

Vorige week bracht WordPress al een update uit om een ander xss-lek te patchen. Met WordPress 4.2 werden ook drie kleinere beveiligingsproblemen opgelost.

Door Joost Schellevis

Redacteur

28-04-2015 • 08:03

73 Linkedin Google+

Reacties (73)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True