WordPress-sites zijn wederom het doelwit van aanvallen die misbruik maken van een ongepatchte kwetsbaarheid in een plug-in. Het gaat om Yellow Pencil, een plug-in voor het aanpassen van WordPress-themes die op meer dan 30.000 websites is geïnstalleerd.

Afgelopen dinsdag maakte een beveiligingsonderzoeker een kwetsbaarheid in de plug-in bekend, zonder dat de ontwikkelaar was gewaarschuwd en er een beveiligingsupdate beschikbaar was. Inmiddels wordt het beveiligingslek actief door criminelen aangevallen. Via de kwetsbaarheid kunnen ongeauthenticeerde gebruikers acties als beheerder uitvoeren.

Securitybedrijf Wordfence meldt dat het een groot aantal pogingen ziet waarbij wordt geprobeerd om websites via de kwetsbaarheid te compromitteren. Aanvallers maken daarbij gebruik van een exploit die erg veel lijkt op de proof-of-concept-exploit van de onderzoeker. "Zoals weer het geval is brengt een ontstemde beveiligingsonderzoeker de WordPress-community in gevaar door proof-of-concepts voor zerodaylekken te openbaren", zegt James van Wordfence.

WordPress-sites die van de plug-in gebruikmaken wordt geadviseerd die te verwijderen. WordPress heeft de plug-in inmiddels uit de eigen repository verwijderd. Eerder deze week werden WordPress-gebruikers al gewaarschuwd voor aanvallen die misbruik maken van een zerodaylek in de Yuzo Related Posts-plug-in.