Een kritieke kwetsbaarheid in een betaalde plug-in voor WordPress met meer dan 30.000 installaties maakt het mogelijk voor aanvallers om administrator te worden. De ontwikkelaars van Tutor LMS Pro hebben een update uitgebracht om het probleem te verhelpen. Tutor LMS Pro is een plug-in voor het aanbieden van eLearning-cursussen via WordPress-sites.
De plug-in biedt onder andere de mogelijkheid om via een account van bijvoorbeeld Facebook of Google in te loggen. Op basis van een token dat door Google of Facebook wordt verstrekt en het e-mailadres kan de gebruiker vervolgens op de site inloggen. De plug-in controleert niet of het token en het e-mailadres wel bij elkaar horen. Er wordt alleen gecontroleerd of het om een geldig token gaat, zo laat securitybedrijf Wordfence weten.
Een aanvaller kan hier misbruik van maken door bij het inloggen zijn eigen geldige token op te geven in combinatie met het e-mailadres van een willekeurig account op de WordPress-site. Wanneer een aanvaller het e-mailadres van de website-admin weet en dit opgeeft, zal hij als administrator worden ingelogd en zo de controle over de site krijgen.
De ontwikkelaars van Tutor LMS Pro werden op 14 januari ingelicht en kwamen op 30 januari met een update. Wordfence heeft nu de details van de kwetsbaarheid openbaar gemaakt. Aangezien het hier om een betaalde plug-in gaat zijn er geen cijfers bekend over het aantal sites dat de update heeft geïnstalleerd.
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Een kritieke kwetsbaarheid in een betaalde plug-in voor WordPress met meer dan 30.000 installaties maakt het mogelijk voor aanvallers om administrator te worden. De ontwikkelaars van Tutor LMS Pro hebben een update uitgebracht om het probleem te verhelpen. Tutor LMS Pro is een plug-in voor het aanbieden van eLearning-cursussen via WordPress-sites.
De plug-in biedt onder andere de mogelijkheid om via een account van bijvoorbeeld Facebook of Google in te loggen. Op basis van een token dat door Google of Facebook wordt verstrekt en het e-mailadres kan de gebruiker vervolgens op de site inloggen. De plug-in controleert niet of het token en het e-mailadres wel bij elkaar horen. Er wordt alleen gecontroleerd of het om een geldig token gaat, zo laat securitybedrijf Wordfence weten.
Een aanvaller kan hier misbruik van maken door bij het inloggen zijn eigen geldige token op te geven in combinatie met het e-mailadres van een willekeurig account op de WordPress-site. Wanneer een aanvaller het e-mailadres van de website-admin weet en dit opgeeft, zal hij als administrator worden ingelogd en zo de controle over de site krijgen.
De ontwikkelaars van Tutor LMS Pro werden op 14 januari ingelicht en kwamen op 30 januari met een update. Wordfence heeft nu de details van de kwetsbaarheid openbaar gemaakt. Aangezien het hier om een betaalde plug-in gaat zijn er geen cijfers bekend over het aantal sites dat de update heeft geïnstalleerd.
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Deel dit bericht: