Meerdere kwetsbaarheden in plugin WP Fastest Cache

Tijdens een interne audit van de plugin WP Fastest Cache door Jetpack zijn kwetsbaarheden ontdekt:

Een Authenticated SQL Injection- kwetsbaarheid en een Stored XSS ( Cross-Site Scripting ) via Cross-Site Request Forgery (CSRF).

Bij misbruik kan de SQL Injection kwetsbaarheid aanvallers toegang geven tot gevoelige informatie uit de database van de getroffen website, zoals gebruikersnamen en gehashte wachtwoorden. Deze kwetsbaarheid kan alleen worden misbruikt als de plugin Classic Editor ook op de WordPress site is geïnstalleerd en geactiveerd. 

Het succesvol misbruiken van de CSRF & Stored XSS-kwetsbaarheid maakt het kwaadwillenden mogelijk om elke actie uit te voeren die de ingelogde beheerder die ze hebben aangevallen mag doen op de aangevallen website.

De kwetsbaarheden zijn verholpen in de op 11 oktober 2021 uitgebrachte versie 0.9.5 van plugin WP Fastest Cache. De plugin is op meer dan 1 miljoen websites actief. Op moment van schrijven hebben zo'n 350.000 gebruikers de nieuwe versie gedownload. De resterende 650.000 websites, voor zover die ook gebruikmaken van de Classic Editor plugin, zijn nog kwetsbaar.

Draai je de plugin nog op versie 0.9.4 of lager? Update dan zo snel mogelijk!

Bekijk MissHack op Opiness

Heb je een vraag?

Naam*
Vermeld je telefoonnummer in het bericht als je telefonisch contact op prijs stelt.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Blog

> Kwetsbaarheid in Sassy Social Share plugin

Over misshack

misshack petra blankwaard

misshack is een initiatief van Petra Blankwaard van Indigo Webstudio

Bedrijfsinformatie

Duinstraat 23 / Unit 1-6
2584 AV Den Haag
KvK: 23090942
ING Bank NL24 INGB 0007 3487 93
BTW-nummer NL175103446B01
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram