Meer dan negenduizend WordPress-sites zijn door beveiligingslekken in een gebruikte plug-in kwetsbaar voor aanvallen en een beveiligingsupdate is niet beschikbaar. Het gaat om de plug-in Store Locator Plus, die inmiddels door WordPress van de officiële downloadsite voor plug-ins is verwijderd.

Store Locator Plus is een plug-in waarmee bijvoorbeeld winkels, bedrijven of andere locaties een routebeschrijving voor bezoekers en klanten kunnen tonen. Er zijn twee kwetsbaarheden in de plug-in waardoor aanvallers beheerders kunnen worden. De eerste kwetsbaarheid maakt het mogelijk voor geauthenticeerde gebruikers om via hun metadata beheerder op elke website te worden die van de plug-in gebruikmaakt.

De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. De ontwikkelaar van de plug-in werd op 5 maart door securitybedrijf Wordfence over het lek ingelicht en kwam op 5 april met een patch. Die blijkt onvolledig te zijn, waardoor de kwetsbaarheid als ongepatcht moet worden beschouwd. Vanwege het beveiligingslek besloot WordPress de plug-in op 12 april van de downloadsectie van WordPress.org te verwijderen.

Een tweede kwetsbaarheid die nog altijd ongepatcht is en een impactscore van 7,2 heeft, maakt het voor ongeauthenticeerde aanvallers mogelijk om malafide JavaScript aan pagina's toe te voegen. Hiermee kan een aanvaller backdoors injecteren of een nieuw beheerdersaccount toevoegen en zo de website overnemen. Beheerders van websites die van de plug-in gebruikmaken wordt aangeraden die uit te schakelen. Aangezien updates ontbreken zijn er geen uitgebreide technische details van de kwetsbaarheden openbaar gemaakt.