image

WordPress-sites aangevallen via zerodaylek in Elementor add-on

dinsdag 9 maart 2021, 15:17 door Redactie, 2 reacties
Laatst bijgewerkt: 10-03-2021, 09:40

Naar schatting 30.000 WordPress-sites lopen het risico om in handen van cybercriminelen te komen door een zerodaylek in een add-on voor de plug-in Elementor. De kwetsbaarheid wordt actief aangevallen en een beveiligingsupdate is nog niet beschikbaar. Via het beveiligingslek kan een aanvaller volledige controle over de website krijgen.

Het beveiligingslek is aanwezig in The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken, meldt securitybedrijf Wordfence.

Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. Bij de nu waargenomen aanvallen voegen aanvallers hun eigen accounts als beheerder toe. De kwetsbaarheid werd gemeld door WPScan. Zolang er geen patch beschikbaar is worden details achterwege gehouden.

Update

De ontwikkelaar heeft inmiddels twee beveiligingsupdates uitgerold om de kwetsbaarheid te verhelpen. De eerste update bleek geen volledige oplossing te bieden, waarop een tweede patch verscheen. Gebruikers krijgen het advies om te updaten naar versie 4.1.7.

Reacties (2)
10-03-2021, 08:45 door Anoniem
Correctie is wel op z'n plaats. Kwetsbaarheid werd niet ontdekt door WPScan maar gemeld op WPscan.
Daar staat letterlijk de volgende info mbt de melder van het lek
Submitter: Ville Korhonen (Seravo), Antony Booker (WP Charged)
Submitter website: https://seravo.com/
En is inmiddels in versie 4.1.7 van de betreffende plugin verholpen.
10-03-2021, 21:35 door Anoniem
Zoveelste lek binnen een WP plugin, ongelofelijk. Bijna net zo ongelofelijk als het feit dat security.nl als een van de laatste sites nog niet responsive is. Heel jammer en slecht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.