Er is een kritieke kwetsbaarheid gevonden in de Modern Events Calendar Lite plugin voor WordPress. Deze kwetsbaarheid, aangeduid als CVE-2021-4458, stelt ongeauthenticeerde aanvallers in staat gevoelige informatie uit de database te halen via een SQL-injectie in alle versies tot en met 6.3.0. Het probleem doet zich voor bij onvoldoende ontsnapping en voorbereiding van SQL-query’s.
Overzicht
De kwetsbaarheid bevindt zich in de wp_ajax_mec_load_single_page AJAX-actie en maakt het mogelijk om via het ‘id’ parameter extra SQL-queries toe te voegen. Dit kan alleen worden uitgebuit op sites waar addslashes is uitgeschakeld.
Aanbevelingen
- Upgrade de Modern Events Calendar Lite plugin naar een versie hoger dan 6.3.0 om deze kwetsbaarheid te verhelpen.
- Zorg ervoor dat de
addslashesfunctie in uw PHP-configuratie is ingeschakeld om verdere risico’s te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2021-4458?
Het is een kwetsbaarheid die SQL-injectie in de Modern Events Calendar Lite plugin voor WordPress toestaat.
Welke systemen zijn kwetsbaar voor CVE-2021-4458?
Alle systemen met de Modern Events Calendar Lite plugin, versie 6.3.0 of lager, en waarbij addslashes is uitgeschakeld, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar. U wordt geadviseerd om te upgraden naar een versie hoger dan 6.3.0.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongezien gevoelige informatie uit de database extraheren, wat ernstige gevolgen kan hebben voor de veiligheid van de website en de vertrouwelijkheid van gegevens.
