Veiligheidslek in WordPress Jetpack

Veiligheidslek in WordPress Jetpack

On mei 27, 2016, Posted by , In Wordpress, By ,,, , With Reacties uitgeschakeld voor Veiligheidslek in WordPress Jetpack

Jetpack pluginHet populaire JetPack pakket voor WordPress heeft naar nu is gebleken in oudere versies een beveiligingslek. Het lek heeft een “medium” status gekregen.

 

Details over de aanvalsmethode

Het lek in Jetpack betreft een zogeheten “Cross-site Scripting (XSS)” probleem. Er kan misbruik van worden gemaakt wanneer er een functie wordt gebruikt voor het toevoegen van bijvoorbeeld video-materiaal van sites als Vimeo. JetPack wil een dergelijke link vertalen naar een video. Maar als de aanvallers de link corrumperen checkt (de oudere versie van) Jetpack niet of de link misschien ook kwalijke code mee-importeert. Een aanvaller kan op die manier bijvoorbeeld kwaadaardige Javascript uitvoeren binnen uw website. Meer details (Engelstalig) over het veiligheidslek vindt u op de site van WordFence.

Dringend advies

Wij raden iedereen aan die WordPress gebruikt om JetPack te updaten (voorzover van toepassing) naar de laatste versie en, wanneer van toepassing, WordFence te installeren. De nieuwste versie van WordFence beschermt namelijk tegen kwaadwillendend die misbruik willen maken van het veiligheidslek.

Comments are closed.