Tienduizenden WordPress-sites kwetsbaar door lek in plug-in

[Captain Kirk]

Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites.

Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9.

De scores geven aan dat het om kritieke kwetsbaarheden gaat die eenvoudig zijn te misbruiken. Na ontdekking van de beveiligingslekken waarschuwde Wordfence de ontwikkelaars van Ultimate Member. Op 29 oktober verscheen versie 2.1.12 van de plug-in waarmee de kwetsbaarheden zijn verholpen. Nu een kleine twee weken later heeft Wordfence de details van de beveiligingslekken openbaar gemaakt.

Uit cijfers van WordPress blijkt dat er nog tienduizenden websites kwetsbaar zijn. Zo zijn er 20.000 websites die versie 2.0 of ouder gebruiken. Tachtig procent draait versie 2.1.x, maar het exacte versienummer wordt niet vermeld. Sinds 29 oktober is de plug-in zo'n 76.000 keer gedownload. Webmasters die van de plug-in gebruikmaken wordt aangeraden de nieuwe versie te downloaden.

The plugin allows you to add beautiful user profiles to your site and is perfect for creating advanced online communities and membership sites.

bron: https://www.security.nl