Naar schatting een miljoen WordPress-sites zijn kwetsbaar door een actief aangevallen kwetsbaarheid in de plug-in Elementor Pro en een beveiligingsupdate is niet beschikbaar. Via de kwetsbaarheid kunnen aanvallers op afstand volledige controle over kwetsbare websites krijgen.
Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Naast de gratis Elementor-plug-in is er ook de betaalde plug-in Elementor Pro. Een zerodaylek in Elementor Pro maakt het mogelijk voor een aanvaller om willekeurige bestanden te uploaden en zo code uit te voeren. Zo kan een aanvaller een nieuwe beheerder aanmaken of een backdoor installeren.
De kwetsbaarheid in Elementor Pro is alleen te misbruiken wanneer gebruikers zich bij de website kunnen registreren. Een beveiligingslek in een andere plug-in maakt het echter mogelijk om deze beperking te omzeilen en WordPress-sites aan te vallen ook wanneer ze geen gebruikersregistratie bieden. De plug-in in kwestie heet "Ultimate Addons" en is een uitbreiding voor Elementor.
Securitybedrijf Wordfence heeft aanvallen ontdekt waarbij beide kwetsbaarheden worden gebruikt om WordPress-sites met Elementor Pro over te nemen. Elementor Pro wordt naar schatting door meer dan één miljoen websites gebruikt. Ultimate Addons draait op zo'n 110.000 websites. Zolang de kwetsbaarheden niet zijn gepatcht geeft Wordfence geen verdere details. Het Elementor-team werkt aan een beveiligingsupdate. In de tussentijd krijgen gebruikers van Elementor Pro het advies om te downgraden naar de gratis versie van Elementor.
Elementor Pro laat in een reactie aan Security.NL weten dat er een update (2.9.4) beschikbaar is die de kwetsbaarheid verhelpt.
Deze posting is gelocked. Reageren is niet meer mogelijk.