Maak je gebruik van de plug-in Ultimate Members voor je WordPress-website? Werk de plug-in dan zo snel mogelijk bij naar de nieuwste versie.
Sophos waarschuwt in een uitgebreide blog voor Ultimate Members, een veelgebruikte plug-in voor WordPress om gebruikersaccounts te beheren. Een kwetsbaarheid in de plug-in zorgt ervoor dat buitenstaanders zich als een administrator kunnen aanmelden op je website. Dit zou iemand met kwade bedoelingen vrij spel kunnen geven om je website helemaal over te nemen.
De fout zit meer bepaald in het registratieformulier van de plug-in, verduidelijkt een bijdrage op het supportforum van WordPress. Gebruikers kunnen bepaalde waarden in het formulier aanpassen, waaronder ook welke rol ze toebedeeld krijgen. Hoewel een aanvaller zijn of haar rol niet rechtstreeks kan aanpassen naar administrator, kunnen de ingebouwde controlesystemen wel om de tuin worden geleid door te spelen met de inputwaarden.
Vierde keer, goede keer
In een reactie op die forumpost geeft een ontwikkelaar van Ultimate Members aan dat zijn team al met een oplossing bezig was. De plug-in kreeg sinds de eerste melding van een klant drie updates die het probleem slechts gedeeltelijk aanpakten. Twee dagen geleden rolde Ultimate Members versie 2.6.7 uit, die het beveiligingslek volledig zou moeten dichten. Het wordt geadviseerd om naar deze versie bij te werken.
Die ketting van updates doet de onderzoekers van Sophos de vergelijking maken met de MOVEit-kwetsbaarheid die al een maand voor grote problemen zorgt. De ontwikkelaarsteams van Progress Software hebben het lek al proberen te dichten, maar telkens komt er weer een nieuwe bug boven drijven.
Lekke plug-ins
Beveiligingslekken in WordPress plug-ins komen regelmatig voor. Door de vele websites die op WordPress draaien, maken dergelijke kwetsbaarheden vaak miljoenen websites in één klap kwetsbaar voor aanvallen. Om je website gezond te houden, neem je best dus af en toe de tijd om te controleren of je plug-ins nog wel up-to-date zijn en deins er niet voor terug om slecht beveiligde of slecht functionerende plug-ins te verwijderen.
lees ook