WordPress heeft een nieuwe versie uitgebracht waarin onder meer een ‘kritiek’ beveiligingslek is opgelost. Het lek werd gevonden door een Belgische beveiligingsonderzoeker. Ook twee kleinere beveiligingsproblemen zijn opgelost.
Het lek is volgens het ict-beveiligingsteam van de Amerikaanse overheid dermate gevaarlijk dat website-eigenaren het best zo snel mogelijk kunnen updaten naar een nieuwe versie van WordPress. Alle installaties tot en met 4.1.1 zijn kwetsbaar; versie 4.1.2, die deze week is uitgebracht, lost het probleem op.
Het lek in WordPress werd ontdekt door de Belgische beveiligingsonderzoeker Cedric van Bockhaven. Hij ontdekte dat WordPress een cross site scripting-kwetsbaarheid bevat, waarmee aanvallers eigen html- en javascript-code kunnen toevoegen aan een website. In dit geval zou een aanvaller daarmee een site kunnen overnemen.
Daarnaast zijn in WordPress twee kleinere bugs opgelost, die kleinere kwetsbaarheden dichten. Daarbij gaat het onder meer om een minder gevaarlijk xss-lek. Ook waarschuwt WordPress ervoor dat veel ontwikkelaars van plugins de afgelopen dagen updates hebben uitgebracht, en dat beheerders van websites die het beste ook kunnen updaten. Het gebeurt vaak dat WordPress-plugins kwetsbaar zijn voor aanvallen.
Wij adviseren u uw WordPress omgeving zo spoedig als mogelijk te updaten.
Bron: Tweakers.net