Half miljoen WordPress-sites kwetsbaar door lek in populaire plug-in

[Captain Kirk]

Nog zeker een half miljoen WordPress-sites zijn kwetsbaar door een kritieke kwetsbaarheid in een populaire plug-in. Via het beveiligingslek, aanwezig in de plug-in Essential Addons for Elementor, kan een aanvaller kwetsbare websites op afstand overnemen.

Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn allerlei uitbreidingen beschikbaar, waaronder Essential Addons. Deze uitbreiding voorziet Elementor van meer dan tachtig elementen en extensies.

Een kwetsbaarheid in de uitbreiding zorgt ervoor dat een willekeurige gebruiker, ongeacht authenticatie en autorisatie, een bestand met malafide PHP-code kan uploaden waardoor remote code execution mogelijk is. Het beveiligingslek werd op 25 januari door securitybedrijf Patchstack aan de ontwikkelaars gemeld. Die kwamen op 28 januari met versie 5.0.5 waarin de kwetsbaarheid volledig is verholpen.

Essential Addons is op meer dan een miljoen WordPress-sites geïnstalleerd. Volgens cijfers van WordPress draait 53 procent van de installaties versie 4.9 of ouder, die ook kwetsbaar zijn. Het zou dan om 530.000 websites gaan. Sinds het uitkomen van de update is de plug-in 443.000 keer gedownload, wat suggereert dat de meeste installaties met versie 5 inmiddels zijn geüpdatet.

 

bron: https://www.security.nl