Webhosting Belgie - Mijn Hosting Partner.beWebhosting Belgie - Mijn Hosting Partner.beWebhosting Belgie - Mijn Hosting Partner.beWebhosting Belgie - Mijn Hosting Partner.be

Drie WordPress plugins die je direct moet updaten WPML Litespeed GIveWP

Drie WordPress plugins die je direct moet updaten WPML Litespeed GIveWP
MijnHostingPartner

Drie WordPress plugins die je direct moet updaten WPML Litespeed GIveWP

Deze maand zijn er drie WordPress plug-ins waar kwetsbaarheden in zijn gevonden bekend gemaakt, en de updates hiervoor dien je als je deze plug-ins geïnstalleerd hebt staan zo snel mogelijk installeren. Laten we in deze blog behandelen welke kwetsbaarheden dit waren en hoe je dit kunt oplossen op jouw website. 

WPML

De veelgebruikte WordPress Multilingual (meer talen) plugin, WPML, dat op meer dan een miljoen websites draait, heeft onlangs een kwetsbaarheid voor Remote Code Execution (RCE) (CVE-2024-6386) gerepareerd. Deze kwetsbaarheid, die door onderzoekers als "Kritiek" is beoordeeld, heeft een CVSS-score van 9.9 gekregen. Het wordt sterk aanbevolen dat gebruikers hun websites bijwerken naar de nieuwste versie, WPML 4.6.13.0

Beveiligingsonderzoeker Mat Rollings, bekend als stealthcopter, ontdekte de kwetsbaarheid en meldde deze via het Wordfence Bug Bounty programma, waarvoor hij een beloning van $1.639 ontving.

István Márton van Wordfence legde uit dat "het WPML-plugin voor WordPress kwetsbaar is voor Remote Code Execution in alle versies tot en met 4.6.12 vanwege een Twig Server-Side Template Injection. Dit probleem wordt veroorzaakt door het ontbreken van adequate inputvalidatie en sanitisatie in de renderfunctie, waardoor geauthentiseerde aanvallers met ten minste Contributor-toegangscode kunnen uitvoeren op de server."

Werk de plug-in dus direct bij indien je deze geïnstalleerd hebt staan op je hosting, en overweeg om de automatische updates hiervoor aan te zetten. Dan wordt zonder jouw inmenging gelijk de laatste versie geïnstalleerd. 

GiveWP

GiveWP, een veelgebruikte donatie-plug-in voor WordPress, heeft een kwetsbaarheid gerepareerd waarbij ongeauthenticeerde PHP Object Injection kan leiden tot Remote Code Execution. Deze kwetsbaarheid stelde kwaadwillenden in staat om willekeurige code op afstand uit te voeren en bestanden te verwijderen. De plug-in, die deel uitmaakt van de Liquid Web-productenfamilie, heeft meer dan 100.000 actieve installaties.

De kwetsbaarheid werd gemeld door villu164 (Villu Orav) via het Wordfence Bug Bounty Programma, wat hem een beloning van $4.998 opleverde. Onderzoekers hebben het probleem als "Kritiek" geclassificeerd, met een CVSS-score van 10.0, en raden dringend aan om te updaten naar de nieuwste versie.

Volgens Wordfence is de GiveWP-plugin “kwetsbaar voor PHP Object Injection in alle versies tot en met 3.14.1 door deserialisatie van onbetrouwbare invoer via de ‘give_title’ parameter. Hierdoor kunnen ongeauthenticeerde aanvallers een PHP Object injecteren. Door de aanwezigheid van een POP-keten kunnen aanvallers vervolgens code op afstand uitvoeren en willekeurige bestanden verwijderen.”

LiteSpeed cache

De LiteSpeed Cache Plugin, die veel wordt gebruikt om de snelheid en prestaties van WordPress-websites te verbeteren, heeft onlangs een kritieke kwetsbaarheid voor ongeauthenticeerde privilege-escalatie (CVE-2024-28000) opgelost. Met meer dan 5 miljoen actieve installaties is deze plug-in een essentieel hulpmiddel voor veel WordPress-gebruikers.

John Blackbourn, lid van de Patchstack Alliance-gemeenschap, ontdekte de kwetsbaarheid en ontving een beloning van $14.400, de hoogste beloning ooit in de geschiedenis van WordPress bug bounty-programma's.

Oliver Sild, CEO van Patchstack, vertelde WPTavern: “LiteSpeed Cache heeft zijn mVDP-programma via Patchstack, waarmee de kwetsbaarheid werd gemeld aan het Patchstack zero-day programma. We werken nauw samen met zowel onderzoekers als plug-in-ontwikkelaars om ervoor te zorgen dat kwetsbaarheden correct worden verholpen voordat ze openbaar worden gemaakt.”

Vanwege de ernst van de kwetsbaarheid hebben onderzoekers deze beoordeeld als "Kritiek," met een CVSS-score van 9.8. Het wordt ten zeerste aanbevolen om zo snel mogelijk te updaten naar versie 6.4 of hoger. Overweeg ook weer om hiervoor automatische updates in te schakelen voor deze plug-in. 

Bijblijven met je WordPress website

Met elke website is het belangrijk om bij te blijven met enige updates, zowel aan de voorkant als aan de achterkant, WordPress is de populairste methode om een website te maken. Waardoor dit ook vatbaar is voor kwetsbaarheden, puur omdat dit veel gebruikt wordt is er ook veel aandacht voor door kwaadwillenden. We raden aan om minimaal 1 keer in de maand een onderhoudsronde te houden op je WordPress website, en waar mogelijk de automatische updates ingeschakeld te hebben staan voor plug-ins en de core van WordPress.

Dit zorgt ervoor dat de kans dat de website geïnfecteerd raakt kleiner wordt, er bestaat echter altijd nog een kans. Daarom is enkel het updaten van je website niet afdoende, je dient hiernaast ook een recente backup te hebben van je gehele website. Dit kan je doen door hiervoor een handmatige backup te maken, of je kan hiervoor gebruikmaken van tools en plug-ins. We hebben hier meerdere voor uitgetest en eerder behandeld in een voorgaande blog post, lees dus nog even terug om hier meer over te weten. 

Bron: wptavern.com