Er is weer een belangrijke kwetsbaarheid in WordPress gevonden. Een kwetsbaarheid die letterlijk alle versies van WordPress die momenteel beschikbaar zijn raakt. Hoewel er op het moment van schrijven nog geen update beschikbaar is om het probleem te verhelpen, lichten we je toch vast in.

Het gaat om een kwetsbaarheid in het systeem waarmee je als gebruiker een nieuw wachtwoord aanvraagt. WordPress gebruikt om het return path van de e-mail op te bouwen een server variabele om het domein in de HTTP request uit te lezen. Maar dit kan een hacker veranderen naar een eigen domein. Hoewel de e-mail in eerste instantie in jouw mailbox zou moeten belanden, kan een hacker die mail manipuleren zodat je jouw wachtwoord verandering bevestigt naar de server van de hacker. Zo kan die jouw wachtwoord aanpassen en toegang krijgen tot de server.

De server kan ook zonder jouw hulp toegang krijgen door jouw mailbox eerst vol te laten lopen of door een DDOS aanval onbereikbaar te maken. In dat geval zal de password reset mail via het return address op de account van de hacker binnenkomen.

De ontdekker van dit probleem, Dawid Golunski, meldde dit probleem afgelopen jaar al bij het team achter WordPress, maar dat heeft er nog niets mee gedaan. Nu de methode openbaar is geworden, kunnen hackers meteen aan de slag en zal WordPress snel moeten reageren. Doordat deze methode nogal wat werk kost, verwachten we geen massale hacks, maar echt gerichte aanvallen op specifieke sites. Binnen de configuratie van onze premium beveiliging zijn al aanpassingen gemaakt die het veel moeilijker maken om deze methode uit te voeren omdat hackers eerst moeten uitzoeken wie wel of niet een admin account heeft binnen het systeem.

Zodra WordPress een patch uitbrengt, zullen we deze meteen naar al onze klanten uitrollen.