image

Half miljoen WordPress-sites kwetsbaar door lek in populaire plug-in

dinsdag 1 februari 2022, 11:20 door Redactie, 4 reacties

Nog zeker een half miljoen WordPress-sites zijn kwetsbaar door een kritieke kwetsbaarheid in een populaire plug-in. Via het beveiligingslek, aanwezig in de plug-in Essential Addons for Elementor, kan een aanvaller kwetsbare websites op afstand overnemen.

Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn allerlei uitbreidingen beschikbaar, waaronder Essential Addons. Deze uitbreiding voorziet Elementor van meer dan tachtig elementen en extensies.

Een kwetsbaarheid in de uitbreiding zorgt ervoor dat een willekeurige gebruiker, ongeacht authenticatie en autorisatie, een bestand met malafide PHP-code kan uploaden waardoor remote code execution mogelijk is. Het beveiligingslek werd op 25 januari door securitybedrijf Patchstack aan de ontwikkelaars gemeld. Die kwamen op 28 januari met versie 5.0.5 waarin de kwetsbaarheid volledig is verholpen.

Essential Addons is op meer dan een miljoen WordPress-sites geïnstalleerd. Volgens cijfers van WordPress draait 53 procent van de installaties versie 4.9 of ouder, die ook kwetsbaar zijn. Het zou dan om 530.000 websites gaan. Sinds het uitkomen van de update is de plug-in 443.000 keer gedownload, wat suggereert dat de meeste installaties met versie 5 inmiddels zijn geüpdatet.

Reacties (4)
01-02-2022, 11:45 door Anoniem
Wordpress, the remote backdoor met blog functionaliteit.
01-02-2022, 12:18 door Anoniem
Je moet je website ook nie volplempen met plugins geschreven door noobs.
01-02-2022, 14:03 door meneer
Automatisch updaten wil wel helpen. Mag wel als best practice worden meegegeven (naast een andere best practice om iets anders te gebruiken, maar ja, dat heeft ook weer consequenties)
01-02-2022, 14:03 door meneer
Automatisch updaten wil wel helpen. Mag wel als best practice worden meegegeven (naast een andere best practice om iets anders te gebruiken, maar ja, dat heeft ook weer consequenties)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.