Een beveiligingsbedrijf heeft onlangs tijdens een routinecontrole een xss-kwetsbaarheid gevonden in WordPress. Door het lek kunnen kwaadwillenden malafide code injecteren en uitvoeren. Potentieel zijn ruim een miljoen actieve installaties vatbaar.

Beveiligingsbedrijf Sucuri was naar eigen zeggen bezig met een routine-audit toen het een 'gevaarlijk' xss-lek ontdekte in de populaire WordPress-plugin WP-Super-Cache. Met de plugin zijn php-scripts van WordPress om te zetten in statische html-bestanden, waarmee de website sneller te serveren is.

De kwetsbaarheid staat kwaadwillenden toe om malafide code uit te voeren. Daardoor kunnen zij volgens Sucuri onder andere adminrechten van de site verkrijgen, backdoors installeren en meer. Volgens Wordpress.org zijn er meer dan een miljoen actieve installaties met WP-Super-Cache. In de nieuwste versie van de plugin, 1.4.4, is de kwetsbaarheid inmiddels verholpen.

WordPress is een populair cms dat websitebeheerders wereldwijd gebruiken. Er duiken geregeld kwetsbaarheden op in het systeem, vaak ook het gevolg van plugins die niet helemaal waterdicht blijken. Laatst kwam nog naar buiten dat zeker drieduizend websites malware serveren aan gebruikers door een plugin die met een beveiligingsprobleem kampte.

bron: tweakers.net