Duizenden WordPress-sites besmet via wachtwoordreset-lek in Elementor-plug-in

[Captain Kirk]

De afgelopen dagen zijn duizenden WordPress-sites besmet geraakt via een wachtwoordreset-lek in een populaire Elementor-plug-in, zo meldt securitybedrijf Sucuri. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.

Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Essential Addons for Elementor. Deze uitbreiding voorziet Elementor van allerlei nieuwe onderdelen. Meer dan één miljoen WordPress-sites maken er gebruik van. De wachtwoordresetfunctie van de plug-in bevat een kwetsbaarheid. De functie controleert namelijk niet of een door de gebruiker opgegeven key voor het uitvoeren van een wachtwoordreset wel geldig is en wijzigt vervolgens direct het wachtwoord van de opgegeven gebruiker. Een aanvaller kan zo het wachtwoord van de beheerder wijzigen en de website overnemen.

Het probleem is aanwezig in versie 5.4.0 tot en met 5.7.1. Vorige week verscheen versie 5.7.2 waarin de kwetsbaarheid is verholpen, maar dit is niet duidelijk vermeld. Wel is duidelijk dat veel WordPress-sites de update niet hebben geïnstalleerd. Sucuri meldt dat het al meer dan zesduizend besmette WordPress-sites heeft gedetecteerd. Vervolgens installeren de aanvallers backdoors en een plug-in die malafide code bevat. Daarmee worden onder andere bezoekers naar andere websites doorgestuurd. Beheerders van websites waarop de plug-in draait worden dan ook opgeroepen om die te updaten mocht dat nog niet zijn gedaan.

 

 

bron: https://www.security.nl