Kwetsbaarheid in Modern Events Calendar plugin

Kwetsbaarheid in Modern Events Calendar plugin

Er wordt actief misbruik gemaakt van een kwetsbaarheid in de Modern Events Calendar plugin, welke meer dan 150.000 actieve installaties heeft. De kwetsbaarheid werd ontdekt door security onderzoeker Friderika Baranyai, die het rapporteerde via het bug bounty programma van Wordfence.

Kwetsbaarheid in Modern Events Calendar

De kwetsbaarheid in Modern Events Calendar betreft een zogeheten arbitrary file upload vulnerability, welke ontstond door een ontbrekende bestandstype validatie in de set_featured_image functie van de plugin. Daardoor is het mogelijk voor kwaadwillenden om malafide afbeeldingen of PHP-bestanden naar de server te uploaden en op die manier remote execution te triggeren. Hoewel een aanvaller in de meeste gevallen geverifieerde toegang moet hebben om daadwerkelijk misbruik te maken van de kwetsbaarheid, zijn er ook websites waarbij dat niet het geval is. Bij een aantal gecompromitteerde WordPress sites zou de kwetsbaarheid zelfs volledige overname van de website mogelijk maken.

Update met patch

De ontwikkelaar van de Modern Events Calendar plugin, Webnus, heeft op 8 juli een update met patch uitgerold. Desondanks ziet Wordfence dat er op WordPress sites die de update nog niet geïnstalleerd hebben, actief misbruik wordt gemaakt van de kwetsbaarheid. Gebruikers van Modern Events Calendar krijgen dan ook het dringende advies om de plugin onmiddellijk te updaten naar versie 7.12.0. Gebruikers van de Wordfence plugin hebben inmiddels een firewall regel gekregen die beschermt tegen actief misbruik van deze kwetsbaarheid.

Lees ook: Veilig WordPress plugins updaten doe je zo!

Voor een technische analyse en andere informatie over de kwetsbaarheid in deze plugin verwijzen we je naar de blogpost van Wordfence.

 

 

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.