Zo'n 590.000 WordPress-sites lopen door een kritieke kwetsbaarheid in een plug-in het risico om door aanvallers te worden overgenomen. De ontwikkelaar van NextGen Gallery, de plug-in waar het om gaat, heeft een beveiligingsupdate uitgebracht. Slechts een kleine 27 procent van de meer dan 800.000 WordPress-sites die de plug-in gebruikt heeft de update echter geïnstalleerd.
Via NextGen Gallery kunnen WordPress-sites een fotogalerij aan hun website toevoegen. Onderzoekers van securitybedrijf Wordfence ontdekten afgelopen december twee kwetsbaarheden in de plug-in. De impact van één van deze beveiligingslekken (CVE-2020-35942) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,6 beoordeeld.
De kwetsbaarheid wordt veroorzaakt door een logische fout in de functie die beoordeelt of bepaalde requests zijn toegestaan. Een aanvaller kan door middel van cross-site request forgery (CSRF) zo op afstand code uitvoeren. De aanval vereist wel enige social engineering. Zo moet een ingelogde beheerder op een link van de aanvaller klikken en moet tenminste één fotoalbum van de website voor de aanvaller toegankelijk zijn.
De ontwikkelaar van de plug-in werd op 15 december ingelicht en kwam twee dagen later met een update. Deze versie, 3.5.0, is door een kleine 27 procent van de meer dan 800.000 websites geïnstalleerd. Dat houdt in dat zo'n 590.000 WordPress-sites nog met een kwetsbare versie van de plug-in zitten. Beheerders van deze sites wordt aangeraden de update zo snel als mogelijk te installeren, aangezien details over het lek bekend zijn gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.