telefoon:

0528-372391

Dienstverleners in ICT sinds 1988

+ Support
2017-05-05

Exploit WordPress opent mogelijkheid wachtwoordreset te onderscheppen

WordPress Core bevat een kwetsbaarheid waarvoor nog geen patch is en die het onder omstandigheden mogelijk maakt voor aanvallers om wachtwoorden van gebruikers een reset te geven en zo toegang tot de accounts te krijgen.
Kwetsbaarheid CVE-2017-8295 heeft betrekking op alle versies van WordPress, waaronder de recentste, versie 4.7.4.
Het probleem zit hem in de manier waarop WordPress de resetmails opstelt, claimt Dawid Golunski van Legal Hackers, die een toelichting op de kwetsbaarheid geeft via ExploitBox.

Er is nog geen patch beschikbaar al kunnen gebruikers een tijdelijke work-around inschakelen door het gebruik van UseCanonicalName, waarmee een statische SERVER_NAME-waarde wordt gegenereerd.
Golunksy stelt WordPress al sinds juli 2016 meerdere keren op de hoogte te hebben gesteld, zonder succes. Ook via HackerOne kwam er geen schot in de zaak, waarop hij besloot te publiceren.

Bron: Tweakers.net

Beveiligingsprobleem in recentste WordPress Core

Webdiensten - Plus Automatisering