WordPress-sites gekaapt via zero-day in Total Donations-plug-in

[Captain Kirk]

WordPress-sites van goede doelen, liefdadigheidsinstellingen en andere organisaties die gebruikmaken van de Total Donations-plug-in worden op dit moment actief aangevallen en overgenomen via een zogeheten zero-day. Een kwetsbaarheid waarvoor geen beveiligingsupdate beschikbaar is.

In dit geval zal er waarschijnlijk ook geen patch meer worden ontwikkeld. WordPress-sites die van de plug-in gebruikmaken krijgen dan ook het advies om Total Donations meteen te verwijderen, zo laat securitybedrijf Wordfence weten. Total Donations is een plug-in waarmee WordPress-sites campagnes en beoogde doelen kunnen opgeven. Het gaat om een betaalde plug-in die buiten de WordPress repository wordt aangeboden. Via een beveiligingslek in de plug-in kan een aanvaller beheerderstoegang krijgen en zo de website volledig overnemen.

Volgens Wordfence wordt deze kwetsbaarheid, die in versie 2.0.5 en ouder aanwezig is, actief gebruikt om websites over te nemen. Onderzoekers van het bedrijf vonden naast dit beveiligingslek ook tientallen andere kwetsbaarheden. Het lukte echter niet om de ontwikkelaars van Total Donations te benaderen. Het project lijkt verlaten te zijn, waardoor een update waarschijnlijk nooit meer zal verschijnen, zo laat één van de onderzoekers weten. Gebruikers wordt daarom geadviseerd de plug-in te verwijderen, in plaats van te deactiveren.

 

 

bron: security.nl