Maar liefst vier zeroday-lekken in vier verschillende WordPressplug-ins zijn de afgelopen dagen gebruikt om websites over te nemen en van kwaadaardige code voorzien. Voor twee plug-ins zijn inmiddels beveiligingsupdates verschenen, maar voor de overige twee plug-ins is het wachten op een patch.

Afgelopen dinsdag verscheen er een update voor een zerodaylek in de plug-in Flexible Checkout Fields for WooCommerce. WooCommerce is een zeer populaire plug-in voor op WordPress-gebaseerde webwinkels. De Checkout Fields-plug-in is een uitbreiding voor WooCommerce waarmee extra invoervelden aan een bestelpagina zijn toe te voegen. Meer dan 20.000 websites maken er gebruik van.

Tevens is er gisteren een patch voor Async JavaScript uitgekomen, een plug-in die op meer dan 100.000 websites draait. Voor de plug-ins Modern Events Calendar Lite en 10Web Map Builder for Google Maps, die bij elkaar op meer dan 60.000 websites actief zijn, is nog geen update beschikbaar De kwetsbaarheden in deze vier plug-ins maken het mogelijk om cross-site scripting (XSS) uit te voeren.

Een aanvaller kan hierdoor een WordPressbeheerder aan de website toevoegen en kwaadaardige plug-ins met backdoors installeren. Vervolgens kan er kwaadaardige code aan de website worden toegevoegd die bezoekers bijvoorbeeld naar malafide websites doorstuurt. Aangezien er voor Modern Events Calendar Lite en 10Web Map Builder for Google Maps nog geen patch beschikbaar is, krijgen WordPressbeheerders het advies om die uit te schakelen.