50.000 WordPress-sites kwetsbaar door lek in plugin
Cybercriminelen maken actief misbruik van een zero day-lek in een plugin die op 50.000 WordPress-websites wordt gebruikt. Het gaat om de Contact Form for WordPress – Ultimate Form Builder Lite plugin, die is ontwikkeld door AccessPress Themes.
Het lek is ontdekt door het beveiligingsbedrijf WordFence. Brad Haas, Senior Security Analyst bij WordFence, schrijft in een blogpost dat WordFence in september drie plugins heeft ontdekt met kritieke object injection kwetsbaarheden, die allen actief werden misbruikt door cybercriminelen. Tijdens nader onderzoek naar deze beveiligingsproblemen is de nieuwe kwetsbaarheid in Contact Form for WordPress – Ultimate Form Builder Lite plugin ontdekt.
SQL-injectie en PHP object injection
De exploit bestaat uit een combinatie van een SQL-injectie kwetsbaarheid en een PHP object injection kwetsbaarheid. Deze combinatie stelt aanvallers in staat een kwetsbare website over te nemen met één enkel verzoek naar /wp-admin/wp-ajax.php.
Het lek is op 13 oktober door WordFence gemeld bij AccessPress Themes, dat op 23 oktober een update voor de plugin beschikbaar heeft gesteld. WordFence publiceert daarom nu details over het datalek.
Meer over
Lees ook
Industrie heeft betere bescherming tegen cyberaanvallen nodig
Industriële installaties lopen in toenemende mate het risico het slachtoffer te worden van cyberaanvallen. Nieuwe producten als de SMP Gateway kunnen hier een nuttige rol bij spelen. Op een kwade dag nestelde een virus zich onopgemerkt in de besturingssystemen van een aantal Nederlandse elektriciteitscentrales. Nadat het zich maandenlang slapend1
Nieuwe website helpt gemeenten hun informatiebeveiliging te verbeteren
Een nieuwe website van de informatiebeveiligingsdienst voor gemeenten (IBD) gaat Nederlandse gemeenten helpen hun informatiebeveiliging te verbeteren. De website houdt gemeenten op de hoogte van de laatste ontwikkelingen op het gebied van cybersecurity en geeft gemeenten een aantal handige tips. De nieuwe website heeft als doel gemeenten beter te1
Security aanpak vaak luilekkerland voor hacker
‘IT-security kost alleen maar geld en de voordelen zijn moeilijk meetbaar.’ Veel bedrijven hebben jarenlang gehandeld naar deze volkswijsheid. De laatste twee jaar staat IT-Security echter flink hoger op de agenda. Mede door serieuze security-incidenten waarbij aanvallers wachtwoorden, encryptiesleutels en zelfs beveiligingscertificaten in handen1