Tienduizenden WordPress-sites zijn kwetsbaar voor aanvallen door een kritiek beveiligingslek in Jupiter X Core. Dit is een plug-in die kernfunctionaliteit voor het Jupiter X theme biedt. De software is op meer dan negentigduizend websites geinstalleerd. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige bestanden naar de webserver te uploaden, wat tot remote code execution kan leiden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Vier weken geleden kwamen de ontwikkelaars met een update voor het probleem, waarop securitybedrijf Wordfence nu de details openbaar heeft gemaakt. Daarnaast maakt een ander beveiligingslek in de plug-in het mogelijk om in te loggen als de eerste gebruiker die met een socialmedia-account op de website inlogde, waaronder beheerders. Ook als deze optie is uitgeschakeld, na een keer te zijn ingeschakeld en gebruikt, is misbruik mogelijk.

De impact van dit lek is beoordeeld met een score van 8.1. Voor dit probleem kwamen de ontwikkelaars vorige week met een volledige oplossing. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog altijd niet up-to-date zijn en zo risico lopen aangevallen te worden.