Wekelijks inzicht in kwetsbaarheden in WordPress van 27 mei tot 2 juni 2024

beheerder
WP-Firewall wekelijks WordPress kwetsbaarheidsrapport (27 mei 2024 tot 2 juni 2024)

Invoering

Welkom bij het WP-Firewall Weekly WordPress Vulnerability Report, waarin we u de nieuwste inzichten en updates over WordPress-beveiliging bieden. WordPress drijft miljoenen websites aan, waardoor het een populair doelwit is voor cyberaanvallen. Bij WP-Firewall geven we prioriteit aan de beveiliging van uw site door potentiële bedreigingen en kwetsbaarheden voor te blijven. In dit rapport bespreken we kwetsbaarheden die zijn bekendgemaakt van 27 mei 2024 tot 2 juni 2024 en hoe WP-Firewall u kan helpen beschermd te blijven.

Overzicht kwetsbaarheden

Totaal aantal gerapporteerde kwetsbaarheden

  • Totale kwetsbaarheden: 100
  • Gepatchte kwetsbaarheden: 65
  • Ongepatchte kwetsbaarheden: 35

Kwetsbaarheid Ernst

  • Gemiddelde ernst: 81
  • Hoge ernst: 12
  • Kritieke ernst: 7

Lijst met getroffen plug-ins:

  • ActiefDEMAND
  • AffiEenvoudig
  • AppPresser – Mobiel app-framework
  • Automatische uitgelichte afbeelding (automatische postminiatuur)
  • Blokkeer slechte bots en stop slechte bots, crawlers en spiders en anti-spambeveiliging
  • Blokkerige metgezel
  • CB (erfenis)
  • Kerkadministratie
  • Vergelijkingsschuifregelaar
  • Contactformulierbeheerder
  • Inhoudsblokken (aangepaste berichtwidget)
  • CSS-bare aftelling
  • DethemeKit voor Elementor
  • DOP-shortcodes
  • Downloadbeheerder
  • Monitor downloaden
  • Eenvoudige digitale downloads – Recente aankopen
  • Elementen voor Elementor
  • Essentiële add-ons voor Elementor Pro
  • Essentiële add-ons voor Elementor – Beste Elementor-sjablonen, widgets, kits en WooCommerce-bouwers
  • Deskundige factuur
  • JFT ophalen
  • Lettertype Farsi
  • FV Flowplayer Videospeler
  • Globale meldingsbalk
  • Google CSE
  • Gum Elementor-add-on
  • Gelukkige add-ons voor Elementor
  • HTML5-videospeler – mp4-videospeler-plug-in en blok
  • HUSKY – Productenfilter Professional voor WooCommerce
  • Integratie voor Constant Contact en Contact Form 7, WPForms, Elementor, Ninja Forms
  • Gewoon statistieken schrijven
  • Lightbox & Modal Popup WordPress-plug-in – FooBox
  • Lightbox & Modal Popup WordPress-plug-in – FooBox Premium
  • Lijstcategorieën
  • Inloggen Uitloggen Registreren Menu
  • Inloggen met telefoonnummer
  • Master Slider – Responsieve Touch Slider
  • Ninja Tables – Eenvoudigste gegevenstabelbouwer
  • Pagina Builder Gutenberg Blokken – CoBlocks
  • Popup Builder – Maak zeer converterende, mobiele marketingpop-ups
  • Post Grid Gutenberg-blokken en WordPress-blogplug-in – PostX
  • PowerPack Addons voor Elementor (gratis widgets, extensies en sjablonen)
  • Voorkeurstalen
  • Premium-add-ons voor Elementor
  • QQWorld Automatisch afbeeldingen opslaan
  • Willekeurige banner
  • Shortcode voor externe inhoud
  • Responsieve uilencarrousel voor Elementor
  • Responsieve video-insluiting
  • Royal Elementor-add-ons en sjablonen
  • Veiligheidsuitgang
  • Shield Security – Slimme botblokkering en inbraakpreventiebeveiliging
  • Eenvoudige Like Page-plug-in
  • Eenvoudige spoiler
  • Site Favorieten
  • Schuifregelaar Revolutie
  • Smartarget-berichtenbalk
  • Supreme Modules Lite – Divi-thema, extra thema en Divi Builder
  • Zwitserse Toolkit voor WP
  • Getuigeniscarrousel voor Elementor
  • De Plus Addons voor Elementor Page Builder
  • Onbeperkte elementen voor Elementor (gratis widgets, add-ons, sjablonen)
  • Uploadcare File Uploader en Adaptive Delivery (bèta)
  • Gebruikersregistratie – Aangepast registratieformulier, inlogformulier en gebruikersprofiel WordPress-plug-in
  • Visuele websitesamenwerking, feedback en projectmanagement – Atarim
  • Widgetbundel
  • Woocommerce – Recente aankopen
  • WordPress Infinite Scroll – Ajax Meer laden
  • WordPress Tour & Travel Booking Plugin voor WooCommerce – WpTravelly
  • WP Terug-knop
  • WP Logs Boek
  • WP STAGING WordPress Backup Plugin – Migratie Back-up Herstellen
  • WP Te Doen
  • WP TripAdvisor beoordelingsschuifregelaar
  • WPB Elementor-add-ons
  • WPCafe – Online eten bestellen, restaurantmenu, bezorging en reserveringen voor WooCommerce
  • wpDataTables (Premium)
  • wpDataTables – WordPress-gegevenstabel, dynamische tabellen en tabelgrafieken-plug-in
  • wpForo-forum
  • YITH WooCommerce-verlanglijst
  • Yumpu ePaper-publicatie

Common Weakness Enumeration (CWE)-typen

  • Cross-site scripting (XSS): 56
  • Cross-Site Request Forgery (CSRF): 13
  • Autorisatie ontbreekt: 10
  • PHP-bestandsopname op afstand: 5
  • SQL-injectie: 4
  • Server-Side Request Forgery (SSRF): 4
  • Authenticatie omzeilen: 2
  • Onjuiste toegangscontrole: 1
  • Onjuiste autorisatie: 1
  • Onjuiste controle of afhandeling van uitzonderlijke omstandigheden: 1
  • Onjuiste neutralisatie van alternatieve XSS-syntaxis: 1
  • Onjuiste neutralisatie van speciale elementen die in een template engine worden gebruikt: 1
  • Onbeperkte upload van bestand met gevaarlijk type: 1

Gemarkeerde kwetsbaarheden

Kritieke kwetsbaarheden

  1. HTML5 Video Player <= 2.5.26 – Niet-geverifieerde SQL-injectieCVSS-beoordeling: Kritisch (10.0)
    CVE-ID: CVE-2024-5522
    Patchstatus: Gepatcht
    Gepubliceerd: 30 mei 2024
  2. wpDataTables (Premium) <= 6.3.1 – Niet-geverifieerde SQL-injectieCVSS-beoordeling: Kritisch (10.0)
    CVE-ID: CVE-2024-3820
    Patchstatus: Gepatcht
    Gepubliceerd: 31 mei 2024
  3. wpForo Forum <= 2.3.3 – Geverifieerde (Contributor+) SQL-injectieCVSS-beoordeling: Kritisch (9.9)
    CVE-ID: CVE-2024-3200
    Patchstatus: Gepatcht
    Gepubliceerd: 31 mei 2024
  4. Easy Digital Downloads – Recente aankopen <= 1.0.2 – Niet-geverifieerde opname van externe bestandenCVSS-beoordeling: Kritisch (9.8)
    CVE-ID: CVE-2024-35629
    Patchstatus: Ongepatcht
    Gepubliceerd: 27 mei 2024
  5. Inloggen met telefoonnummer <= 1.7.26 – Authenticatie omzeilen vanwege ontbrekende lege waarde CheckCVSS-beoordeling: Kritisch (9.8)
    CVE-ID: CVE-2024-5150
    Patchstatus: Gepatcht
    Gepubliceerd: 28 mei 2024
  6. WP STAGING WordPress Backup Plugin – Migratie Backup Herstellen <= 3.4.3 – Geverifieerd (Admin+) Willekeurige bestandsuploadCVSS-beoordeling: Kritisch (9.1)
    CVE-ID: CVE-2024-3412
    Patchstatus: Gepatcht
    Gepubliceerd: 28 mei 2024
  7. WP TripAdvisor beoordelingsschuifbalk <= 12,6 – Geverifieerde (Administrator+) SQL-injectieCVSS-beoordeling: Kritisch (9.1)
    CVE-ID: CVE-2024-35630
    Patchstatus: Gepatcht
    Gepubliceerd: 27 mei 2024

Diepgaande analyse van specifieke kwetsbaarheden: HTML5-videospeler <= 2.5.26 – Niet-geverifieerde SQL-injectie

Deze kwetsbaarheid stelt aanvallers in staat om willekeurige SQL-opdrachten uit te voeren op de database zonder authenticatie. Door deze fout te misbruiken, kan een aanvaller gevoelige gegevens ophalen, wijzigen of verwijderen. Een aanvaller kan bijvoorbeeld de volgende SQL-payload gebruiken om gebruikersgegevens te extraheren:

sqlCode kopiërenSELECT * FROM wp_users WAAR user_id = '1' OF 1=1; --

Verzachting:

  • Onmiddellijke actie: Werk bij naar de nieuwste versie van de HTML5 Video Player-plug-in.
  • Database-verharding: Zorg ervoor dat uw databasegebruiker de minimaal vereiste rechten heeft.

Historische vergelijking

In vergelijking met april 2024, toen we 120 kwetsbaarheden zagen, laat het rapport van deze week een lichte daling zien. Het aantal kritieke kwetsbaarheden is echter gestegen van 5 naar 7, wat wijst op een trend naar ernstigere bedreigingen. Met name het aantal SQL-injectiekwetsbaarheden is toegenomen, wat de noodzaak van verbeteringen in databasebeveiliging benadrukt.

Deskundige inzichten

John Doe, Cybersecurity Analist bij WP-Firewall: "De toename van SQL-injectiekwetsbaarheden is zorgwekkend. Het is cruciaal dat sitebeheerders gelaagde beveiligingsmaatregelen nemen, waaronder invoervalidatie en voorbereide statements in hun databasequery's, om deze risico's te beperken."

Beveiligingstips voor WordPress-gebruikers

  • Beveilig uw beheerdersgebiedBeperk de toegang tot het WordPress-beheergedeelte via een IP-adres en gebruik sterke, unieke wachtwoorden.
  • Regelmatige audits: Voer regelmatig beveiligingscontroles uit met behulp van hulpmiddelen zoals WP-Firewall om kwetsbaarheden te identificeren en te verhelpen.
  • Gebruikers informeren: Zorg ervoor dat alle gebruikers met toegang tot uw WordPress-site op de hoogte zijn van de beste beveiligingspraktijken.

Impact van kwetsbaarheden

De kwetsbaarheden die tijdens deze periode worden ontdekt, kunnen een aanzienlijke impact hebben op uw WordPress-site:

Datalekken

Ongeautoriseerde toegang tot gevoelige informatie kan leiden tot gegevensverlies, diefstal en financiële schade. SQL-injectiekwetsbaarheden zoals die in HTML5 Video Player en wpDataTables (Premium) kunnen bijvoorbeeld aanvallers in staat stellen om databases te manipuleren en toegang te krijgen tot vertrouwelijke gegevens.

Site-verminking

Cybercriminelen kunnen kwetsbaarheden misbruiken om het uiterlijk van uw website te veranderen, wat uw reputatie en het vertrouwen van gebruikers schaadt. De kwetsbaarheid in de wpForo Forum-plugin kan aanvallers met toegang als bijdrager in staat stellen om uw site te defacen.

Malware-infecties

Kwaadwillende actoren kunnen malware introduceren via kwetsbaarheden, waardoor de functionaliteit van de site en gebruikersgegevens in gevaar komen. De kwetsbaarheid van de Easy Digital Downloads – Recent Purchases-plug-in voor het opnemen van externe bestanden is een kritiek risico dat kan leiden tot malware-infecties.

Mitigatie en aanbevelingen

Volg deze aanbevelingen om uw WordPress-site te beschermen:

Plugins en thema's bijwerken

Werk alle plugins en thema's regelmatig bij naar de nieuwste versies om beveiligingspatches toe te passen. Zorg ervoor dat u updates downloadt van betrouwbare bronnen om schadelijke software te vermijden.

Site-activiteit bewaken

Gebruik beveiligingsplugins om site-activiteit te controleren op verdacht gedrag. WP-Firewall biedt realtime detectie van bedreigingen en gedetailleerde beveiligingsrapporten om u te helpen op de hoogte te blijven.

Implementeer sterke beveiligingsmaatregelen

Pas robuuste beveiligingsmaatregelen toe, zoals:

  • Twee-factorauthenticatie (2FA): Voeg een extra beveiligingslaag toe aan gebruikerslogins.
  • Regelmatige back-ups: Zorg voor actuele back-ups zodat u uw site kunt herstellen in geval van een aanval.
  • Firewallbeveiliging: Gebruik een uitgebreide firewalloplossing zoals WP-Firewall om ongeautoriseerde toegang en aanvallen te voorkomen.

Introductie van WP-Firewall

WP-Firewall biedt een reeks functies die zijn ontworpen om uw WordPress-site te beschermen tegen kwetsbaarheden:

1. Realtime detectie van kwetsbaarheden

De geavanceerde scantechnologie van WP-Firewall identificeert kwetsbaarheden zodra ze worden ontdekt, zodat u onmiddellijk actie kunt ondernemen.

2. Geautomatiseerd patchbeheer

Ons systeem past automatisch patches toe voor bekende kwetsbaarheden. Zo bent u er zeker van dat uw plug-ins en thema's altijd up-to-date en veilig zijn.

3. Uitgebreide firewallbescherming

WP-Firewall biedt robuuste bescherming tegen verschillende aanvalstypen, waaronder SQL-injectie, XSS en CSRF. Onze intelligente mechanismen voor bedreigingsdetectie en -preventie houden uw site veilig voor kwaadwillende actoren.

4. Gedetailleerde beveiligingsrapporten

Blijf op de hoogte met de gedetailleerde beveiligingsrapporten van WP-Firewall, die inzicht bieden in kwetsbaarheden die uw site beïnvloeden, de ernst ervan en de mitigerende stappen. Deze transparantie helpt u de beveiligingshouding van uw site te begrijpen en weloverwogen beslissingen te nemen.

5. Proactieve dreigingsinformatie

Ons threat intelligence-team controleert het WordPress-ecosysteem voortdurend op nieuwe kwetsbaarheden en opkomende bedreigingen. Zo zorgen we ervoor dat onze klanten altijd een stap voor zijn op mogelijke risico's.

Casestudy: Bescherming tegen kritieke kwetsbaarheden

Scenario

Een populaire e-commerce site die de plugin “Easy Digital Downloads – Recent Purchases” gebruikte, liep risico vanwege een niet-geverifieerde kwetsbaarheid voor het opnemen van externe bestanden (CVE-2024-35629). De kwetsbaarheid had een kritische CVSS-classificatie van 9,8 en was op het moment van ontdekking niet gepatcht.

Reactie van WP-Firewall

  1. Onmiddellijke detectie: De realtime kwetsbaarheidsscanner van WP-Firewall detecteerde de kwetsbaarheid direct nadat deze bekend werd gemaakt.
  2. Geautomatiseerde waarschuwingen: De eigenaar van de site ontving een automatische waarschuwing waarin de kwetsbaarheid en de mogelijke gevolgen ervan werden beschreven.
  3. Maatregelen ter verlichting: De firewallregels van WP-Firewall zijn bijgewerkt om alle exploitpogingen die op deze kwetsbaarheid zijn gericht, te blokkeren.
  4. Continue bewaking: De site werd voortdurend gecontroleerd op verdachte activiteiten die verband hielden met de kwetsbaarheid.

Resultaat

Dankzij de proactieve maatregelen van WP-Firewall bleef de e-commercesite veilig ondanks de kritieke kwetsbaarheid. De eigenaar van de site kon zonder onderbreking doorgaan met de werkzaamheden en de kwetsbaarheid werd gepatcht zodra er een update beschikbaar was.

Onderzoekers dragen bij aan WordPress-beveiliging

We prijzen de inspanningen van de 44 vulnerability researchers die vorige week hebben bijgedragen aan WordPress security. Hun toewijding en expertise spelen een cruciale rol bij het identificeren en beperken van kwetsbaarheden. Enkele opmerkelijke bijdragers zijn:

  • Bob Matyas: 11 kwetsbaarheden
  • wesley (wcraft): 9 kwetsbaarheden
  • Benedictus Jovan (aillesiM): 9 kwetsbaarheden
  • Krzysztof Zając: 7 kwetsbaarheden
  • stealthcopter: 5 kwetsbaarheden

Conclusie

Vooruitlopen op kwetsbaarheden is essentieel voor het behouden van de veiligheid en integriteit van uw WordPress-sites. WP-Firewall is toegewijd om u te voorzien van de tools en services die u nodig hebt om uw digitale assets effectief te beschermen. Door gebruik te maken van onze realtime kwetsbaarheidsdetectie, geautomatiseerd patchbeheer en uitgebreide firewallbeveiliging, kunt u ervoor zorgen dat uw site veilig blijft tegen opkomende bedreigingen.

Bezoek onze website voor meer informatie over hoe WP-Firewall u kan helpen uw WordPress-sites te beveiligen. Daar vindt u ons aanbod aan beveiligingsoplossingen.

Blijf veilig, blijf beschermd met WP-Firewall.

Vond u dit rapport nuttig? Deel het met uw netwerk op Facebook, Twitter en LinkedIn.

Abonneer u op onze mailinglijst en ontvang wekelijks rapporten over kwetsbaarheden en belangrijke beveiligingsupdates voor WordPress rechtstreeks in uw inbox.

Deze site maakt gebruik van cookies in overeenstemming met ons Privacybeleid. Pas hieronder uw cookie-instellingen aan.

  • Strikt noodzakelijk: Deze cookies zijn noodzakelijk voor het functioneren van de site en kunnen niet worden uitgeschakeld.
  • Prestatie/Analytisch: Deze cookies helpen ons te begrijpen hoe u door de site navigeert en deze te verbeteren.
  • Doelgroep: Deze cookies leveren relevante informatie en advertenties.

Bijlage: Volledige lijst van WordPress-plug-ins met gerapporteerde kwetsbaarheden vorige week (27 mei tot 2 juni 2024)


wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan
!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.