Een ernstig lek in een populaire WordPressplug-in maakt het mogelijk voor aanvallers om meer dan 130.000 websites over te nemen. De kwetsbaarheid bevindt zich in de plug-in "InfiniteWP Client". Via deze plug-in kunnen gebruikers vanaf hun eigen server een onbeperkt aantal WordPress-sites beheren.
Volgens de ontwikkelaars van de plug-in is die door meer dan 513.000 websites geïnstalleerd, terwijl WordPress het op mee dan 300.000 actieve installaties houdt. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om als beheerder op de website in te loggen. Alleen het versturen van een speciaal geprepareerd request is voldoende, aldus securitybedrijf Wordfence.
De ontwikkelaars van de InfiniteWP Client kwamen vorige week met een update voor het lek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 is beoordeeld. De update is sindsdien door ruim 168.000 WordPress-sites geïnstalleerd, wat inhoudt dat meer dan 132.000 sites nog risico lopen. Beheerders krijgen dan ook het dringende advies om de update met versienummer 1.9.4.5 te installeren. Details over het beveiligingslek zijn inmiddels openbaar gemaakt en Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.