170.000 WordPress-sites via kritiek lek in plug-in MW WP Form over te nemen

[Captain Kirk]

Een kritieke kwetsbaarheid in een veelgebruikte WordPress-plug-in maakt het mogelijk om zo'n 170.000 websites over te nemen. Een update is sinds 29 november beschikbaar, maar op veel sites nog niet geïnstalleerd. Het gaat om de plug-in MW WP Form, waarmee het mogelijk is om mailformulieren voor WordPress-sites te maken. De plug-in is op meer dan 200.000 websites geïnstalleerd.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om willekeurige bestanden naar de webserver te uploaden, waaronder PHP-bestanden. Daarmee is het mogelijk om willekeurige code op de webserver uit te voeren. Voorwaarde is wel dat de optie “Saving inquiry data in database” staat ingeschakeld. Het beveiligingslek werd op 24 november door securitybedrijf Wordfence aan de ontwikkelaars van de plug-in gemeld.

Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9.8 is beoordeeld, verscheen op 29 november een update (versie 5.0.2). Uit cijfers van WordPress.org blijkt dat de afgelopen week 32.000 websites de nieuwe update hebben geïnstalleerd, wat inhoudt dat nog zo'n 170.000 websites kwetsbaar zijn. Beheerders worden dan ook opgeroepen de nieuwste versie van de plug-in te installeren.

 

bron: https://www.security.nl