wpDiscuz kwetsbaarheid maakt het mogelijk systeem over te nemen / wpDiscuz vulnerability allows system takeover
07 Aug 2020 - Frank Breedijk
Nederlands
Op 19 Juni is een kritieke kwetsbaarheid in de wpDiscuz plugin ontdekt en gemeld aan de ontwikkelaars van wpDiscuz. De ontwikkelaar hebben, te vergeefs, geprobeert deze kwetsbaaheid op te lossen versie 7.0.4 en uiteindelijk op 23 July 2020 opgelost in versie 7.0.5. Door een fout in de validatie van uploads van de gebruiker is het voor een gebruiker mogelijk PHP code uit te voeren als de server en hiermee de web server over te nemen.
Bleeping Computer heeft een artikel gepubliceerd deze kwetsbaarheid.
Het DIVD Security Meldpunt gaat beheerders van websites waarvan ze heeft kunnen achterhalen dat deze een kwetsbare versie van wpDiscuz draaien waarschuwen.
Voor meer informatie zie: case DIVD-2020-00010
English
On 19 June a critical vulnerability in the wpDiscux plugin was discovered and reported to the developers of wpDiscuz. The developers tried to patch this vulnerability in release 7.0.4., but failed. The vulnerability was fixed in version 7.0.5. wich was released on 23 July 2020. Due to a failed validation of user uploaded data an attacker can upload PHP code to the server and in this way take over the server.
Bleeping Computer has published an artical about this vulnerability.
The DIVD Security Meldpunt will notify administrators of websites is has determined run a vulnerable version of this plugin.
For more information: case DIVD-2020-00010
Last modified: 18 Jan 2023 13:28 CET