Beveiligingslek in populaire WordPress-extensie bbPress – Security.nl



In de populaire WordPress-extensie bbPress bevindt zich een beveiligingslek waardoor aanvallers in het ergste geval websites kunnen overnemen. BbPress is een forum voor WordPress-sites met meer dan 300.000 actieve installaties. In het geval anonieme berichten worden toegestaan is het voor een aanvaller mogelijk om SQL-injection uit te voeren. Zo kan er toegang tot de database van de website worden verkregen.

De kwetsbaarheid werd op 20 maart van dit jaar door securitybedrijf Sucuri aan de ontwikkelaar gemeld. Die liet op dezelfde dag weten dat er binnen 40 uur een update gereed zou zijn. Pas in juni verscheen er op de server van de ontwikkelaar echter een update, maar was die niet via de WordPress-repository beschikbaar. In juli ontdekte Sucuri dat de update het probleem niet verhelpt. De ontwikkelaar bevestigde het probleem, maar maanden later is er nog altijd geen nieuwe patch beschikbaar gemaakt.

De kwetsbaarheid is echter opgelost via WordPress-update 4.8.3, die op 31 oktober verscheen. Het WordPress-team bracht deze update uit voor een beveiligingslek die zich in een functie bevindt waar plug-ins en themes gebruik van maken. Webmasters die van bbPress gebruikmaken krijgen dan ook het advies deze update te installeren, aangezien details over de kwetsbaarheid in de extensie openbaar zijn gemaakt.



Related Post