Tienduizend WordPress-sites kwetsbaar door kritiek lek in end-of-life plug-in

[Captain Kirk]

Meer dan tienduizend WordPress-sites lopen door een kritieke kwetsbaarheid in twee plug-ins, die niet meer worden ondersteund, het risico om door criminelen te worden overgenomen. Het gaat om de 'Malware Scanner' en 'Web Application Firewall' van een ontwikkelaar genaamd MiniOrange. De twee plug-ins zijn juist ontwikkeld om WordPress-sites tegen allerlei aanvallen en malware te beschermen.

De Malware Scanner draait op meer dan tienduizend websites, de Web Application Firewall is op driehonderd sites actief. Beide plug-ins bevatten dezelfde kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het wachtwoord van gebruikers kan resetten. De enige voorwaarde is dat een aanvaller een geldige gebruikersnaam opgeeft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Het probleem werd op 5 maart aan de ontwikkelaar van de plug-ins gerapporteerd. In plaats van een update te ontwikkelen besloot die met de plug-ins te stoppen. Vanwege de impact van de kwetsbaarheid en het ontbreken van een patch roept securitybedrijf Wordfence alle gebruikers op om de plug-ins meteen van hun website te verwijderen.

 

bron: https://www.security.nl