Tienduizenden WordPress-sites kwetsbaar door kritiek RCE-lek in plug-in
Tienduizenden WordPress-sites lopen door de aanwezigheid van een kritiek beveiligingslek in een gebruikte plug-in het risico om door aanvallers op afstand te worden overgenomen. Een beveiligingsupdate voor de kwetsbaarheid, die remote code execution (RCE) mogelijk maakt, is sinds 21 november beschikbaar, maar tienduizenden WordPress-sites hebben die nog niet geïnstalleerd.
Het beveiligingslek (CVE-2025-13486) is aanwezig in de plug-in Advanced Custom Fields: Extended, zo meldt securitybedrijf Wordfence. Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF, die op meer dan honderdduizend websites draait.
Een op afstand aan te roepen functie van ACF: Extended blijkt gebruikersinvoer niet goed te verwerken, waardoor ongeauthenticeerde aanvallers willekeurige code op de server kunnen uitvoeren. Ook is het mogelijk voor aanvallers om willekeurige andere WordPress-functies aan te roepen, waaronder de mogelijkheid om een nieuwe administrator aan te maken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
De ontwikkelaars van ACF: Extended kwamen op 21 november met versie 0.9.2 waarin het probleem is verholpen. Cijfers van WordPress.org laten zien dat meer dan vijftigduizend websites de update nog niet hebben geïnstalleerd en zodoende risico lopen om te worden aangevallen.
Misschien wel een data verzamelaar waarna je een hoop spam krijgt of zelfs aanvallen.
Binnen de Wordpress plug-inns zijn er genoeg waarmee je je site kunt teste.
Sprak een anonieme poster op een forum.
Sprak een anonieme poster op een forum.
Beargumenteerde een anonieme reageerder op een focum. Hackertarget is al een flink aantal jaren aanwezig, daarnaast is het een simplistische scan als je het verkeerd naar de gescande website analyseert... ofwel dikke doei.
Laten bijvoorbeeld user enumeration en directory listing aanstaan en vergeten plug-ins op tijd te updaten.
Dan heb je een gelikte site, maar door valse zuinigheid later gecompromitteerd; zit de echte rekening dan onder in de zak.
Die er geen verstand van hebben, nemen de beslissingen en die er verstand van hebben, tellen niet mee.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?