WordPress-sites aangevallen via zerodaylek in Elementor add-on
Graag brengen wij u op de hoogte van onderstaand artikel. Laat uw websitebouwer controleren of de laatste update voor u uitgerold is, versie 4.1.7 De kans dat u gehackt bent is zeer klein, maar controleren kan nooit kwaad.
WordPress-sites aangevallen via zerodaylek in Elementor add-on
Naar schatting 30.000 WordPress-sites lopen het risico om in handen van cybercriminelen te komen door een zerodaylek in een add-on voor de plug-in Elementor. De kwetsbaarheid wordt actief aangevallen en een beveiligingsupdate is nog niet beschikbaar. Via het beveiligingslek kan een aanvaller volledige controle over de website krijgen.
Het beveiligingslek is aanwezig in The Plus Addons voor Elementor. Elementor is een zogeheten “page builder” plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo’n 30.000 WordPress-sites van gebruikmaken, meldt securitybedrijf Wordfence.
Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. Bij de nu waargenomen aanvallen voegen aanvallers hun eigen accounts als beheerder toe. De kwetsbaarheid werd gemeld door WPScan. Zolang er geen patch beschikbaar is worden details achterwege gehouden.
Update
De ontwikkelaar heeft inmiddels twee beveiligingsupdates uitgerold om de kwetsbaarheid te verhelpen. De eerste update bleek geen volledige oplossing te bieden, waarop een tweede patch verscheen. Gebruikers krijgen het advies om te updaten naar versie 4.1.7.
(bron: security.nl)