WordPress-sites worden op dit moment actief aangevallen via een zerodaylek in de Yuzo Related Posts-plug-in waardoor aanvallers in het ergste geval de website volledig kunnen overnemen. Via de plug-in kunnen WordPress-sites onder artikelen gerelateerde artikelen tonen.

Volgens de ontwikkelaar van de plug-in kunnen websites op deze manier hun bezoekers langer vasthouden. Meer dan 60.000 WordPress-sites hebben de plug-in geïnstalleerd. Onlangs maakte een beveiligingsonderzoeker een kwetsbaarheid in de plug-in bekend, zonder dat de ontwikkelaar was gewaarschuwd en er een beveiligingsupdate beschikbaar was. Inmiddels wordt het beveiligingslek actief door criminelen aangevallen.

Via de stored cross-site scripting (XSS) kwetsbaarheid kan een ongeauthenticeerde aanvaller kwaadaardige content, zoals een JavaScript-payload, in de plug-in-instellingen injecteren. Deze payload wordt vervolgens aan de HTML-templates toegevoegd en uitgevoerd in de browser van bezoekers. Via de kwetsbaarheid is het mogelijk om de website te defacen, bezoekers naar andere websites door te sturen of het WordPress-beheerdersaccount over te nemen, aldus securitybedrijven Wordfence en Sucuri.

Bij de nu waargenomen aanvallen worden bezoekers doorgestuurd naar scamsites die claimen dat er malware op de computer is gedetecteerd en het opgegeven telefoonnummer moet worden gebeld om het probleem te verhelpen. "Net zoals een paar weken geleden hebben de onverantwoorde acties van een beveiligingsonderzoeker ervoor gezorgd dat een zerodaylek in een plug-in actief wordt aangevallen", aldus onderzoeker Dan Moen van Wordfence.

Op het WordPress-forum klagen verschillende mensen dat hun website via de plug-in is gehackt en de ontwikkelaar adviseert alle webmasters om Yuzo direct van hun website te verwijderen. Binnenkort zou er een gepatchte versie moeten verschijnen. WordPress heeft de plug-in inmiddels uit de WordPress-repository verwijderd.