Onderzoekers hebben in het Jupiter X theme en plug-in voor WordPress een kritieke kwetsbaarheid ontdekt waardoor het mogelijk is om kwetsbare sites over te nemen. Via de Jupiter X-software is het mogelijk om allerlei onderdelen van WordPress-sites aan te passen en vorm te geven.
Een beveiligingslek in de software, aangeduid als CVE-2022-1654, maakt het mogelijk voor elke ingelogde gebruiker ongeachte niveau, waaronder ook abonnees, om beheerder van de website te worden. Het blijkt namelijk mogelijk om een functie aan te roepen voor het resetten van de WordPress-database, waarbij de website eigenlijk opnieuw wordt geïnstalleerd met de ingelogde gebruiker als nieuwe site-eigenaar, aldus securitybedrijf Wordfence dat de kwetsbaarheid ontdekte.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. ArtBees, de ontwikkelaar van het Jupiter X theme en plug-in, werd op 5 april over het lek ingelicht en kwam op 10 mei met een beveiligingsupdate. ArtBees claimt dat meer dan 135.000 websites van de Jupiter X-software gebruikmaken.
Er is echter ook een versie van de Jupiter X Core plug-in op WordPress.org te vinden. De laatste update voor deze versie dateert van negen maanden geleden. Deze versie is echter wel op meer dan 90.000 WordPress-sites actief. Security.NL heeft Wordfence gevraagd of deze versie ook kwetsbaar is. Zodra er meer bekend is zullen we dit melden.
Deze posting is gelocked. Reageren is niet meer mogelijk.