WordPress dicht admin-lek

Via het gat dat voorkomt in versie 2.8.3 van de veelgebruikte blogsoftware is het voor hackers mogelijk het admin-wachtwoord op afstand te resetten. Daarvoor is slechts een browser en een speciaal gemanipuleerde link nodig. Normaliter worden verzoeken om het wachtwoord te veranderen afgehandeld via een geregistreerd e-mailadres. Met de speciale url wordt het oude wachtwoord verwijderd en een nieuwe gegenereerd, zonder dat er bevestiging nodig is.

De fout gebruikt php-code die de gebruikersinformatie niet goed controleert als de resetfunctie wordt aangeroepen. Het gat misbruiken is kinderlijk eenvoudig, oordeelt The Register. Volgens Wordpress is de fout opgelost door één regel code te veranderen. Als de aanvraag niet klopt, wordt nu een foutmelding weergegeven.

'Php is te simpel'

Beveiligingsonderzoekers vragen zich af of WordPress het gat niet te haastig heeft gerepareerd. Ze vragen zich hardop af waarom WordPress heeft gekozen voor een blacklist- versus whitelist-aanpak, in plaats van te controleren of de aanvraag een string is.

"Het grote punt dat de onderzoekers willen maken is dat php-code het equivalent is van een doe-het-zelf jetpack", analyseert The Register. "Het stelt je in staat om met minimale training snel de lucht in te gaan maar het garandeert niet dat je bent voorbereid op gebouwen, vliegtuigen of andere gevaren die je tegen kan komen in de lucht."