WordPress-sites van makelaars actief aangevallen via lek in Houzez-theme

[Captain Kirk]

WordPress-sites van makelaars en vastgoedbedrijven zijn het doelwit van aanvallen waarbij gebruik wordt gemaakt van twee kwetsbaarheden in het Houzez-theme. Houzez biedt een theme speciaal gericht op vastgoed, zoals de verhuur of verkoop van woningen. Volgens de ontwikkelaars maken meer dan 35.000 klanten gebruik van het theme. Houzez biedt via het theme ook een optie dat gebruikers zich op de website kunnen registreren, bijvoorbeeld als koper, eigenaar of verkoper.

Securitybedrijf Patchstack ontdekte dat gebruikers die zich registeren zich ook als administrator kunnen opgeven, om vervolgens beheerder van de betreffende website te worden. Daarnaast zit een soortgelijke kwetsbaarheid ook in de plug-in van het Houzez-theme. Patchstack informeerde Houzez over de beveiligingsproblemen, dat vervolgens met een beveiligingsupdate kwam. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aanvallers maken inmiddels actief misbruik van de beveiligingslekken, aldus Patchstack, dat over een "groot aantal aanvallen" spreekt.

 

bron: https://www.security.nl