Ruim twintigduizend WordPress-sites zijn kwetsbaar door een lek in de plug-in PHP Everywhere waardoor aanvallers websites op afstand kunnen overnemen. PHP Everywhere is een plug-in voor WordPress-sites die het mogelijk maakt om PHP-code op onder andere pagina's, posts en de sidebar te gebruiken. De plug-in is op meer dan dertigduizend WordPress-sites geïnstalleerd.
Drie kwetsbaarheden in de plug-in maken het mogelijk voor geauthenticeerde gebruikers van elk niveau, waaronder abonnees en klanten, om willekeurige PHP-code op de website uit te voeren en die zo over te nemen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. De beveiligingslekken werden op 4 januari door securitybedrijf Wordfence aan de ontwikkelaar gerapporteerd.
Op 12 januari kwam de ontwikkelaar met PHP Everywhere versie 3.0.0 waarin de drie kwetsbaarheden zijn verholpen. Uit cijfers van WordPress blijkt dat deze versie pas op een kleine 31 procent van de WordPress-sites is geïnstalleerd, wat inhoudt dat nog ruim twintigduizend WordPress-sites risico lopen. Beheerders wordt aangeraden om naar de nieuwste versie te updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.