Bugs in WordPress-plug-in maken uitvoering van externe code mogelijk

Websites met WordPress en die de Frontend File Manager-plug-in gebruiken, lopen het risico van hackeraanvallen. De plug-in in kwestie, die is gericht op het uploaden en beheren van bestanden tijdens het gebruik van het WP-platform, heeft een kritieke cross-site scripting-bug waarmee hackers kwaadaardig JavaScript in de pagina's kunnen injecteren en hun eigen accounts op beheerdersniveau kunnen maken.

De kritieke bug is te vinden in versies 17.1 en 18.2 van de Frontend File Manager-plug-in en is een van de zes risicovolle bugs in die twee versies. Het probleem is dat, volgens het rapport van Threatpost over het probleem, er meer dan tweeduizend websites zijn die dezelfde twee versies van de WP-plug-in gebruiken.

De kritieke kwetsbaarheden van de plug-in werden op 12 juni publiekelijk aangekondigd en er zijn al patches voor beschikbaar gesteld.

Naast de mogelijkheid om JavaScript-code te injecteren in de pagina's van de site waarop WP en de plug-in draaien, stelden de bugs hackers ook in staat om pagina's en berichten te bewerken of eenvoudigweg te verwijderen, accountprivileges te escaleren en cross-site scripting-aanvallen uit te voeren, ook wel aangeduid als als XSS-aanvallen. Die bevindingen zijn gedaan door beveiligingsonderzoekers die samenwerken met het Ninja Technologies Network.

Het rapport van Ninja Technologies geeft een gedetailleerd overzicht van alle defecte functies die in de plug-in worden gebruikt en legt uit hoe deze kwaadwillenden precies in staat stellen om kwaadaardige code in pagina's te injecteren of accountprivileges te verhogen en effectief beheerderstoegang en -privileges te verkrijgen.

De bugs stellen hackers ook in staat PHP toe te voegen aan de lijst met bestanden die mogen worden geüpload in de Frontend File Manager-plug-in. Hierdoor kunnen ze op hun beurt kwaadaardige scripts uploaden die het uitvoeren van externe code mogelijk maken.

Iedereen die de Frontend File Manager-plug-in op hun WP-website gebruikt, moet onmiddellijk updaten naar de 18.3-versie van de plug-in om mogelijke problemen te voorkomen en hun configuratie te beveiligen.

WordPress-plug-ins zijn berucht vanwege het feit dat ze kwetsbaarheden en problemen hebben die tot ernstige problemen kunnen leiden voor de site-eigenaren. De Frontend File Manager-plug-in is niet de eerste, en als de trackgeschiedenis van andere plug-ins iets te bieden heeft, zal het waarschijnlijk niet de laatste zijn met kritieke bugs. Website-eigenaren die aangepaste WordPress-plug-ins gebruiken, moeten altijd op zoek zijn naar updates voor die plug-ins om zo veilig mogelijk te blijven.

Tegen Zaib
July 13, 2021
Computer Security
Nederlands
July 13, 2021
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.