Kritieke kwetsbaarheden in WordPress plugin WP Lead Plus X treft meer dan 70,000 sites

Kritieke kwetsbaarheden in WordPress plugin WP Lead Plus X treft meer dan 70,000 sites

Kritieke kwetsbaarheden in WordPress plugin WP Lead Plus X treft meer dan 70,000 sites

Op 3 maart 2020 ontdekte door het Wordfence Threat Intelligence-team een ​​aantal kwetsbaarheden in WP Lead Plus X, een WordPress-plugin met meer dan 70.000 installaties die zijn ontworpen om site-eigenaren in staat te stellen landingspagina’s te maken en pagina’s op hun sites te publiceren.

Impact van kwetsbaarheid

Door deze kwetsbaarheden kon een geverifieerde aanvaller met minimale rechten, zoals een abonnee, elke pagina op een site maken of volledig vervangen door een eigen pagina met kwaadaardige JavaScript, defacement of een omleiding.

Bovendien kan een niet-geverifieerde aanvaller ook een kwaadaardige paginasjabloon uploaden die, indien gebruikt door een beheerder die de premium-versie van de plug-in gebruikt, kwaadaardig JavaScript zou uitvoeren in de browser van die beheerder, wat mogelijk zou kunnen leiden tot overname van de site.

Wordfence Threat Intelligence-team heeft geprobeerd de volgende dag, op 4 maart 2020, contact op te nemen met de ontwikkelaars van de WordPress plugin, gevolgd op 12 maart 2020 en de volledige openbaarmaking van de kwetsbaarheid privé gestuurd. De ontwikkelaar van de plug-in heeft op 15 maart een voorlopige patch uitgebracht met capaciteitscontroles. Wordfence Threat Intelligence-team volgden de volgende dag contact met hen op omdat de gepatchte versie nog steeds kwetsbaar was voor Cross-Site Request Forgery (CSRF), en kregen te horen dat er een completere patch zou komen. Meer dan 2 weken later en meer dan een maand na onze eerste contactpoging is de volledige patch nog niet beschikbaar.

Update de patch

Als deze WordPress plugin essentieel is voor de functionaliteit van uw site, raden wij u ten zeerste aan om onmiddellijk naar versie 0.99 te updaten, aangezien ten minste enkele van deze beveiligingsproblemen in die versie zijn gepatcht.

Hoewel raadt Wordfence Threat Intelligence-team u aan om deze plug-in uit te schakelen en te verwijderen totdat er een completere patch beschikbaar komt.

Extra ondersteuning nodig? Wij kunnen u helpen!

Bij het afnemen van ons Website Onderhoud gaan wij uw website updaten en onderhouden. Alle gebruikte scripts en het CMS/CRM systeem en plug-ins/modules zullen dan de nieuwste versie geïnstalleerd krijgen zodat u minder gevoelig bent eventueel binnendringen van buitenaf en uw website niet misbruikt kan worden.
Bij kritieke beveiligingslekken zullen wij deze meteen naar de nieuwste versie bijwerken.

Voor vragen of wilt u meer informatie over deze dienst of om gebruik te maken van deze dienst, neemt u gerust contact met ons op via  info@solutions4hosting.nl

Kijkt u voor meer informatie op onze website: www.solutions4hosting.nl/website-diensten/website-onderhoud