De recente ontdekking van een kritieke cross-site scripting (XSS) kwetsbaarheid in versies 3.1.6 en lager van de populaire WP Adminify plugin is uiterst zorgwekkend voor WordPress site-eigenaren. Deze kwetsbaarheid kan, indien uitgebuit, aanvallers in staat stellen om schadelijke JavaScript-code te injecteren in admin dashboards en fronts facing sites.
Zoals gerapporteerd door beveiligingsonderzoeker Rio Darmawan, komt deze kwetsbaarheid voort uit onvoldoende invoersanering in de plugincode. Sitebeheerders die kwetsbare versies van WP Adminify gebruiken, wordt ten zeerste aangeraden de plugin onmiddellijk te updaten of te verwijderen. Helaas lijkt er op het moment van schrijven geen gepatchte versie beschikbaar te zijn.
Voor site-eigenaren die WP Adminify niet kunnen updaten of verwijderen, zijn extra voorzorgsmaatregelen vereist. Het inschakelen van een webapplicatiefirewall (WAF) zoals de gratis WordPress firewall-plugin van wp-firewall.com kan een extra beschermingslaag bieden terwijl een patch wordt ontwikkeld. Een WAF inspecteert inkomend verkeer en blokkeert XSS-pogingen en andere aanvallen voordat ze de site bereiken.
Met XSS-kwetsbaarheden die tot de meest voorkomende en gevaarlijkste WordPress-sites van vandaag behoren, dringen we er bij gebruikers van WP Adminify op aan om actie te ondernemen. Migreer naar een veilig alternatief of implementeer tijdelijke mitigaties zoals een WAF. Laat uw site en gegevens niet blootgesteld!
Lezers kunnen hun WordPress-beveiliging verbeteren door zich aan te melden voor de gratis WordPress-firewallplug-in van wp-firewall.com via hun prijspagina: https://wp-firewall.com/pricing/
bron: vuldb.com