Lek ontdekt in WordPress SEO plugin van Yoast

wordpress seo yoastEr is een lek ontdekt in de populaire WordPress SEO plugin van Yoast. Deze kwetsbaarheid (Blind SQL injection) is ontdekt door Ryan Dewhurst van WPScan. Er is al een (automatische) security update gedaan voor de plugin om het lek te verhelpen.
 

Wat houdt het lek precies in?

Als een ingelogde auteur, editor of admin een verkeerde URL bezoekt, kan een kwaadwillende hacker de database wijzigen en gebruikers op de site direct benaderen.  Om het lek te misbruiken, moet een hacker dus gebruikmaken van een ingelogde auteur, editor of admin. Bijvoorbeeld door een link te sturen met een zogenaamde aanbieding. Bij het klikken op de link wordt automatisch een bestand verstuurd.

Automatische security update

Vanwege de ernst van het probleem is er een automatische update gedaan. Als je automatisch updaten niet zelf hebt uitgezet en je de WordPress SEO plugin versie 1.7 of hoger gebruikt, ben je dus waarschijnlijk al automatisch geüpdatet naar 1.7.4. Gebruikte je versie 1.6 dan zit je nu op 1.6.4 en gebruikte je 1.5 dan zit je nu op 1.5.7. Gebruik je nog een oudere versie dan is je plugin niet automatisch geüpdatet. Je moet de plugin dan zelf updaten (wat sowieso verstandig is).

Bron: Yoast.com.