Op 2 maart 2020 ontdekte door het Wordfence Threat Intelligence-team verschillende kwetsbare eindpunten in Responsive Ready Sites Importer, een WordPress-plug-in die op meer dan 40.000 sites is geïnstalleerd.
Impact van kwetsbaarheid
Deze gebreken gaven elke geauthenticeerde gebruiker, ongeacht het privilegeniveau, de mogelijkheid om verschillende AJAX-acties uit te voeren die sitegegevens konden resetten, kwaadaardige JavaScript in pagina’s konden injecteren, thema-aanpassingsgegevens konden wijzigen, .xml- en .json-bestanden konden importeren en onder meer plug-ins konden activeren andere acties.
Wordfence Threat Intelligence-team hadden op 3 maart 2020 contact opgenomen met de ontwikkelaar van de plug-in en deze reageerde proactief en reageerde snel. Ze hebben patches uitgebracht die bestaan uit nonce- en toestemmingscontroles op bijna alle AJAX-eindpunten voordat we de volgende ochtend de volledige kwetsbaarheidsdetails doorstuurden. Wordfence Threat Intelligence-team had nog steeds de volledige openbaarmaking verstrekt en gewezen op enkele AJAX-eindpunten die in hun eerste release waren gemist. Een paar dagen later brachten ze een laatste patch uit.
Dit wordt beschouwd als een ernstig beveiligingsprobleem dat ertoe kan leiden dat aanvallers WordPress-sites volledig overnemen.
Updaten naar nieuwste versie wordt geadviseerd.
We raden u ten zeerste aan onmiddellijk te updaten naar de nieuwste beschikbare versie, 2.2.7.
Wordfence Security Blog
Lees voor gedetailleerde informatie op https://www.wordfence.com/blog/2020/03/severe-flaws-patched-in-responsive-ready-sites-importer-plugin/
Extra ondersteuning nodig? Wij kunnen u helpen!
Bij het afnemen van ons Website Onderhoud gaan wij uw website updaten en onderhouden. Alle gebruikte scripts en het CMS/CRM systeem en plug-ins/modules zullen dan de nieuwste versie geïnstalleerd krijgen zodat u minder gevoelig bent eventueel binnendringen van buitenaf en uw website niet misbruikt kan worden.
Bij kritieke beveiligingslekken zullen wij deze meteen naar de nieuwste versie bijwerken.
Voor vragen of wilt u meer informatie over deze dienst of om gebruik te maken van deze dienst, neemt u gerust contact met ons op via info@solutions4hosting.nl.
Kijkt u voor meer informatie op onze website: www.solutions4hosting.nl/website-diensten/website-onderhoud