Miljoenen WordPress websites kunnen kwetsbaar zijn door een bug in de WPBakery Page Builder plugin. Deze plugin is geïnstalleerd op meer dan 4 miljoen websites. De kwetsbaarheid, die ontdekt is door het Wordfence team, maakt het mogelijk om kwaadaardige JavaScript code in berichten te injecteren
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
Cross Site Scripting in WPBakery page builder
Inhoud
WPBakery page builder is de meest populaire page builder voor WordPress. Het is een eenvoudig te gebruiken tool waarmee je pagina’s kan bouwen en vormgeven, zonder dat je veel technische kennis nodig hebt. Nu is er een fout ontdekt waarmee WordPress gebruikers, met als rol Schrijver of Auteur, kwaadaardige JavaScript code kunnen injecteren in berichten en pagina’s.
Hoe werkt een WPBakery Page Builder aanval?
Een gebruiker met minimaal ‘Schrijver’ rechten kan kwaadaardige JavaScript code toevoegen in berichten met behulp van WPBakery Page Builder. Later kan JavaScript code uitgevoerd worden zodra iemand deze berichten gaat openen of op een button klikt in het bericht. Aangezien gebruikers met ‘Schrijvers’ rechten goedkeuring nodig hebben voor publicatie, is het zeer waarschijnlijk dat een gebruiker met beheerders rechten deze berichten bekijkt. Daardoor wordt JavaScript code uitgevoerd in de browser van de beheerder. Hiermee zou een aanvaller een nieuwe gebruiker kunnen aanmaken of andere kwaadaardige code kunnen injecteren.
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
Wat kan je doen?
Update de WPBakery Page Builder plugin
Zorg dat de plugin is bijgewerkt naar versie 6.4.1. Deze laatste versie van WPBakery Page Builder bevat een patch waardoor het lek in de plugin wordt hersteld. We raden gebruikers aan om onmiddellijk bij te werken naar deze laatste 6.4.1. versie.
Installeer Wordfence
Door het gebruik van Wordfence security plugin is je website minder kwetsbaar voor dit soort aanvallen
Reageer