Select Page

Meer dan een dozijn plug-ins vatbaar voor XSS

Meer dan een dozijn plug-ins vatbaar voor XSS

De afgelopen week heeft beveiligingsbedrijf SUCURI samen met de WordPress Core security team gewerkt aan het oplossen van een Cross site scripting issue. Het beveiligingsgat werd veroorzaakt door het verkeerd gebruik van de functies add_query_arg() en remove_query_arg(). Het beveiligingsgat was te wijten aan een onjuiste beschrijving in de WordPress codex. De betreffende codex pagina’s zijn nu dus ook aangepast. De pagina’s hebben meer dan 5 jaar de indruk gewekt dat dat de functies user input netjes afhandelden.

UpdatingTheCodex

Het beveiligings issue werd als eerste gerapporteerd door Joost de Valk, met een excellente post die de issue beschreef. Sucuri werkte samen met Yoast en ontdekte dat de issue een een pak meer plugins voorkwam dan enkel WordPress Seo. Sucuri heeft meer dan 400 plugins uit de repository bekeken en heeft minimaal 15 stuks gevonden die de code bavetten met het issue. hieronder een overzicht:

Met meer dan 37.000 plug-ins in the repository , lijkt het getal van 400 niet veel. Gary Pendergast, de persoon die het overleg en de werkzaamheden begeleid zegt dat hij momenteel geen echte schatting kan maken. Het is een check die voor elke plug-in manueel moet gebeuren.

Momenteel lijkt het beveiligings issue niet actief misbruikt te worden, maar het is extreem belangrijk dat plug-ins schrijvers hun code controleren en er voor zorgen dat oneigenlijk gebruik van de functies:  add_query_arg() en remove_query_arg() niet meer mogelijk is. De Make WordPress plugins site heeft uitgebreide instructies hoe je je plug-ins kunt controleren en het probleem kunt oplossen.

Deze issue is niet nieuw

Mike Jolley, lead developer voor woothemes, publiceerde een artikel in 2013 over het gebruik van WP url manipulatie functies. Het artikel behandeld beide functies aan het einde van het artikel, Mike herinnert developers er aan om alles te ‘escapen’:

This caught me out a few weeks ago when I found out (the hard way) that WordPress doesn’t automatically sanitize the current URL if you don’t pass in your own. You need to use esc_url during output: echo esc_url( add_query_arg( $key, $value ) ); If you forget to do this, a malicious URL, for example one containing some JavaScript, could potentially be output and executed on your page. Escape all the things to be safe!

Automatic updates

De plug-ins die hierboven gelist zijn, zijn allemaal geupdate. Browse dus snel naar Dashboard – Updates om de nodige updates te installeren. Volgens Sucuri hebben de getroffen plugin developer samen gezorgd dat de updates die klaar staan enkel de gewraakte beveiligings risico’s aanpakken. en er is dus geen gevaar voor het vernielen van je site wanneer je de updates uitvoert.

 

About The Author

Peter Kuipers

Peter is WordPress fanaat, Hosting en Linux specialist en uitgever van diverse online magazines. Daarnaast houd hij van Lekker eten, woont sinds kort in Oostende, en bezoekt regelmatig een WP Meetup.

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

Deze site gebruikt cookies om haar services te leveren, advertenties te personaliseren en verkeer te analyseren. Informatie over je gebruik van deze site wordt gedeeld met Google. Als je deze site gebruikt, ga je akkoord met het gebruik van cookies.

Sluiten