WordPress hield onthulling van ernstig lek opzettelijk achter

[Captain Kirk]

De ontwikkelaars van WordPress hebben de onthulling van een ernstig beveiligingslek in het populaire contentmanagementsysteem (cms), waardoor aanvallers zonder gebruikersnaam of wachtwoord de inhoud van miljoenen WordPress-sites konden aanpassen, een week achtergehouden.

Vorige week verscheen er een beveiligingsupdate voor WordPress. In eerste instantie werd er gemeld dat de update drie beveiligingsproblemen verhielp. Gisteren maakte het WordPress-team echter bekend dat er nog een vierde kwetsbaarheid is opgelost. Via dit beveiligingslek kon een ongeauthenticeerde aanvaller de inhoud van WordPress-sites aanpassen. Op deze manier zou er bijvoorbeeld kwaadaardige code kunnen worden toegevoegd aan websites

"We geloven dat transparantie in het algemeen belang is. Het is onze opvatting dat beveiligingsproblemen altijd moeten worden onthuld. In dit geval hebben we opzettelijk het openbaar maken van dit probleem een week vertraagd, om zo de veiligheid van miljoenen WordPress-sites te garanderen", aldus WordPress-ontwikkelaar Aaron Campbell. Verschillende hostingproviders die WordPress-hosting aanbieden werden direct door WordPress benaderd met informatie over het lek en manieren om gebruikers te beschermen. Volgens de ontwikkelaars zijn er geen aanwijzingen dat aanvallers van de kwetsbaarheid misbruik hebben gemaakt. WordPress wordt door zo'n kwart van alle websites op internet gebruikt.

 

 

bron: security.nl