Kwetsbaarheid in WordPress 4.7.1

WP-LogoIn WordPress (CMS) versie 4.7.1 zit een ernstige kwetsbaarheid die kwaadwillenden ongeoorloofd toegang biedt tot uw omgeving. Dit gebeurd via een REST API, welke standaard in WordPress zit. Zo’n API is niets anders dan een ingang tot het systeem voor andere systemen. Plugins e.d maken vaak gebruik van deze API om gegevens uit te wisselen. Deze API is kwestbaar doordat kwaadwillenden eigen code kunnen injecteren en hiermee rechten kunnen verkrijgen op de WordPress omgeving. Hiermee kan een aanvaller iedere post of pagina van de wordpress site aanpassen met kwaadaardige code.

De nieuwste versie van WordPress (4.7.2), heeft een voorziening daarvoor getroffen zodat dit niet meer mogelijk is. Heeft u WordPress momenteel draaien? Installeert u dan de nieuwste update zo spoedig mogelijk.


Mocht u een WordPress website bij ons hebben afgenomen (met support), dan is deze update al reeds geplaatst. Daarmee is uw WordPress omgeving niet meer voorzien van de bovenstaande kwetsbaarheid!

 

Meer technische (engelstalig) informatie over deze kwetsbaarheid:
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

Indien u nog vragen heeft over dit bericht of ondersteuning van  ons wenst verzoeken wij u om te mailen naar support [@] webservers.nl.
Wij zullen u dan zo spoedig mogelijk antwoorden.

Over de Auteur

Plaats een reactie