MODX Revolution 2.2.13-pl - kritieke beveiligingsfout en oplossing

Je bekijkt op dit moment een oudere story. De inhoud hiervan kan verouderd zijn. Bekijk hier onze laatste stories
 

Vorige week is middels een Attack and Penetration Test een lek binnen het huidige MODX CMS ontdekt. Dankzij Adwise heeft MODX dit lek snel kunnen dichten. Door dit lek is het mogelijk om de database van MODX en alle overige databases die bereikbaar zijn middels het ingestelde database account te benaderen, uit te lezen, te legen en te verwijderen.
Wanneer een database verwijderd wordt is deze alleen door middel van een back-up van de website terug te zetten. Alle in de tussentijd opgeslagen en doorgevoerde wijzigingen zijn op dat moment verloren en ook niet te herstellen.

SQL injection
Via deze techniek kan een kwaadwillige gebruiker of hacker SQL-compatibele code invoeren waardoor de stabiliteit van de database achter de website in gevaar kan komen. Dit gebeurt voornamelijk via een formulier of de URL van de browser.
Door de uitstekende en directe rapportage van de test hebben wij direct zelf geanalyseerd wat de risicos waren en een tijdelijke oplossing gemplementeerd. Vervolgens is de test opnieuw uitgevoerd. Door onze eigen versies van SQL injection uit te voeren hebben we de ernst van deze fout ontdekt.

Samenwerking MODX
Directe communicatie met MODX is dezelfde dag nog opgezet. In samenwerking met Jay Gilmore (Digital Strategy Director) en Jason Coward (co-founder en lead-architect van MODX) hebben zij het lek redelijk snel en effectief kunnen dichten. De volgende dag is MODX Revolution 2.2.13-pl uitgerold.

Oplossingsgerichte mogelijkheden
Aangezien iedere oudere versie van MODX vatbaar is voor deze SQL injection adviseert Adwise u graag in een oplossingsgerichte en efficinte mogelijkheid om uw systeem optimaal veilig te houden en dit risico uit te sluiten. Wij adviseren om een veiligheidspatch toe te passen op elke bestaande MODX installatie of een update van MODX naar versie 2.2.13-pl.

Voor vragen en mogelijkheden kunt u contact opnemen met onze support afdeling via support@adwise.nl of telefonisch 0546-807480. Wij helpen u graag om uw MODX installatie optimaal veilig te houden.

Geschreven door: Leonie Schonewille