Een kritieke kwetsbaarheid in een security-plug-in voor WordPress maakt het mogelijk om duizenden websites over te nemen. 'Security & Malware scan by CleanTalk' is een plug-in met meer dan dertigduizend actieve installaties. De plug-in fungeert als firewall en virusscanner. Zo controleert de plug-in websites dagelijks op de aanwezigheid van malware en kwetsbaarheden.

Een kritiek beveiligingslek in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige bestanden naar de webserver te uploaden, wat remote code execution mogelijk maakt, zo meldt securitybedrijf Wordfence. Een aanvaller kan via de kwetsbare scanfunctie een malafide zip-bestand uploaden dat vervolgens in de publiek toegankelijke uploadmap wordt uitgepakt. Dit zip-bestand kan bijvoorbeeld een malafide php-bestand bevatten. Vervolgens kan de aanvaller dit bestand aanroepen en zo code op de server uitvoeren.

De impact van de kwetsbaarheid (CVE-2024-13365) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars kwamen op 27 januari met een versie waarin het probleem verholpen is. De aanwezigheid van de kritieke kwetsbaarheid staat echter niet in de release notes vermeld. Uit cijfers van WordPress.org blijkt dat duizenden websites die van de plug-in gebruikmaken nog een kwetsbare versie draaien.