Een kwetsbaarheid in de ProfilePress-plug-in voor WordPress wordt actief gebruikt voor het aanvallen van kwetsbare websites. Via het beveiligingslek installeren aanvallers een backdoor en voegen code toe waardoor bezoekers automatisch worden doorgestuurd naar malafide websites.
ProfilePress, dat voorheen bekend stond als WP User Avatar, is een plug-in voor het registreren van gebruikers. Meer dan 400.000 WordPress-sites maken er gebruik van. Eind juni meldde securitybedrijf Wordfence dat er een kwetsbaarheid in de plug-in aanwezig is waardoor gebruikers zich als beheerder van de website kunnen registreren, ook bij websites waar de gebruikersregistratie is uitgeschakeld.
De ernst van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het probleem is in versie 3.1.4 van de plug-in verholpen. Securitybedrijf Sucuri meldt nu dat er actief misbruik van de kwetsbaarheid wordt gemaakt. Aanvallers gebruiken het beveiligingslek om een beheerdersaccount aan te maken en een backdoor toe te voegen. Vervolgens wordt er een zogenaamde plug-in geïnstalleerd die bezoekers van de website doorstuurt naar een scamsite.
Volgens cijfers van WordPress draaien zo'n 135.000 websites een 3.1.x-versie van de plug-in. De overige sites draaien oudere versies, maar die zijn voor zover bekend niet kwetsbaar. Er wordt in de cijfers echter niet aangegeven welke 3.1.x-versie er wordt gebruikt. Beheerders die van ProfilePress gebruikmaken wordt aangeraden om de laatste versie te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.