Een recent ontdekte kwetsbaarheid in de WordPress AMP plugin, die meer dan 100.000 installaties heeft, maakt het mogelijk voor aanvallers om malafide scripts te injecteren in sites die vervolgens door website bezoekers geëxecuteerd konden worden. Inmiddels is er een update met patch beschikbaar.
Cross-site scripting kwetsbaarheid in de WordPress AMP plugin
De kwetsbaarheid in de WordPress AMP plugin is een zogeheten cross-site scripting (XSS) kwetsbaarheid. Deze kwetsbaarheden kunnen voorkomen in WordPress plugins wanneer data input niet adequaat beveiligd is door middel van validatie of sanitatie (een methode om de input van data in bijvoorbeeld een formulier te controleren op elementen die er niet thuishoren, zoals scripts of .zip bestanden). In het geval van de AMP plugin voor WordPress gaat het om cross-site scripting via shortcode – hierbij is het mogelijk voor een aanvaller om malafide scrips te injecteren door misbruik te maken van shortcodes in WordPress plugins. Volgens Wordfence is misbruik van de XSS kwetsbaarheid in dit specifieke geval alleen mogelijk wanneer de aanvaller toegang heeft tot een account met minimaal de rechten van een bijdrager.
Update met patch beschikbaar
De cross-site scripting kwetsbaarheid in de AMP plugin voor WordPress is aanwezig in alle versies tot en met 1.0.88.1. Inmiddels is er een update met patch beschikbaar. Maak jij ook gebruik van de WordPress AMP plugin? Alle gebruikers krijgen het advies om de plugin zo snel mogelijk up te daten naar de meest recente versie – op dit moment is dat WordPress AMP 1.0.89. Updaten kan door in te loggen op je WordPress dashboard en naar Plugins > Geïnstalleerde plugins te navigeren. Zoek de AMP plugin in het overzicht en klik op Update.
Meer weten?
Voor meer informatie over deze specifieke cross-site scripting kwetsbaarheid kun je de aankondiging op het Wordfence blog raadplegen. Tip: check ook meteen onze blogpost met tips over XSS-aanvallen in WordPress voorkomen.