Op 12 maart 2020 ontdekte door het Threat Intelligence-team van Wordfence een opgeslagen Cross-Site Scripting (XSS) ernstige kwetsbaarheid in
Widget Settings Importer / Exporter, een WordPress-plug-in met meer dan 40.000 installaties. Door deze fout kon een geverifieerde aanvaller met minimale machtigingen op abonneeniveau aangepaste widgets importeren en activeren die willekeurige JavaScript bevatten op een site waarop de plug-in is geïnstalleerd.
Impact van kwetsbaarheid
Het Threat Intelligence-team van Wordfence heeft diezelfde dag, 12 maart 2020, contact opgenomen met de ontwikkelaar(s) van de WordPress plugin, maar zij hadden toen nog geen reactie ontvangen.
Op 20 maart 2020 heeft Threat Intelligence team van Wordfence contact opgenomen met het team van WordPress plugins en aan hen de volledige bekendmaking van de ernstige kwetsbaarheid gestuurd, en na follow-up op 13 april 2020 is deze WordPress plugin verwijderd uit de WordPress-repository:
Advies: geen patch beschikbaar, deactiveer en verwijder
Aangezien er momenteel geen patch beschikbaar is, raden we u ten zeerste aan deze plug-in te deactiveren en te verwijderen.
Wordfence Security Blog
Lees voor meer informatie de gedetailleerde blog op
https://www.wordfence.com/blog/2020/04/unpatched-high-severity-vulnerability-in-widget-settings-importer-exporter-plugin/
Extra ondersteuning nodig? Wij kunnen u helpen.
Bij het afnemen van een B&O abonnement nemen wij het beheer en onderhoud van uw website en webshop over.
Samen met u zorgen wij dat de informatie op uw website en webshop actueel blijft en voorzien wij dat de geïnstalleerde plugins/modules/extensions en alle gebruikte scripts en CMS/CRM tooling de nieuwste versies krijgen.
Bekijk
hier de abonnementen en de tarieven.
Voor vragen en informatie kunt u contact opnemen met info@solutions4hosting.nl of maak gebruik van ons
contactformulier.
