Twee miljoen WordPress-sites getroffen door ernstig lek in plug-in

[Captain Kirk]

Een ernstig beveiligingslek in een populaire plug-in raakt zo'n twee miljoen WordPress-sites, hoewel het werkelijke aantal nog hoger kan liggen. All in One SEO for WordPress moet ervoor zorgen dat websites een betere ranking in zoekmachines krijgen. De plug-in is op meer dan drie miljoen websites geïnstalleerd.

De plug-in bevat twee kwetsbaarheden waardoor een aanvaller in het ergste geval code op de server kan uitvoeren en de website kan overnemen, zo meldt WordPressbeveiliger Jetpack. Het gevaarlijkste beveiligingslek, CVE-2021-25036, heeft op een schaal van 1 tot en met 10 een impactscore van 9,9. Via de kwetsbaarheid kunnen gebruikers met low-privileged accounts, zoals abonnees, hun rechten verhogen en kwaadaardige code op de server uitvoeren.

Het andere beveiligingslek, waarvan de impact met een 7,7 is beoordeeld, betreft geauthenticeerde SQL-injection. Gebruikers met een low-privileged account kunnen toegang tot vertrouwelijke data uit de database krijgen, zoals gebruikersnamen en gehashte wachtwoorden. De kwetsbaarheden zijn aanwezig in versie 4 van de plug-in en verholpen met versie 4.1.5.3 die vorige week uitkwam.

Volgens statistieken heeft All in One SEO for WordPress meer dan drie miljoen actieve installaties. Zo'n zestig procent draait versie 4 van de plug-in. Van 29 procent wordt het versienummer niet vermeld.

 

bron: https://www.security.nl