Naar schatting 30.000 WordPress-sites lopen het risico om in handen van cybercriminelen te komen door een zerodaylek in een add-on voor de plug-in Elementor. De kwetsbaarheid wordt actief aangevallen en een beveiligingsupdate is nog niet beschikbaar. Via het beveiligingslek kan een aanvaller volledige controle over de website krijgen.

Het beveiligingslek is aanwezig in The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken, meldt securitybedrijf Wordfence.

Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. Bij de nu waargenomen aanvallen voegen aanvallers hun eigen accounts als beheerder toe. De kwetsbaarheid werd gemeld door WPScan. Zolang er geen patch beschikbaar is worden details achterwege gehouden.

Update

De ontwikkelaar heeft inmiddels twee beveiligingsupdates uitgerold om de kwetsbaarheid te verhelpen. De eerste update bleek geen volledige oplossing te bieden, waarop een tweede patch verscheen. Gebruikers krijgen het advies om te updaten naar versie 4.1.7.