50.000 WordPress-sites kwetsbaar voor aanvallen door kritiek lek in plug-in

[Captain Kirk]

Zo'n vijftigduizend WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers de websites kunnen overnemen. De sites in kwestie maken gebruik van Backup Migration, een plug-in waarmee beheerders een back-up van hun WordPress-site kunnen maken, de site naar een andere host kunnen migreren of een lokale back-up kunnen herstellen. Meer dan negentigduizend WordPress-sites hebben de plug-in geïnstalleerd.

Via het beveiligingslek (CVE-2023-6553) kan een ongeauthenticeerde aanvaller, door het versturen van een speciaal geprepareerd request naar een PHP-bestand van de plug-in, willekeurige PHP-code op kwetsbare sites uitvoeren. Dat laat securitybedrijf Wordfence weten. Op 7 december kwam de ontwikkelaar van de plug-in met versie 1.3.8, waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat zo'n veertigduizend websites de update hebben geïnstalleerd, wat inhoudt dat nog zo'n vijftigduizend WordPress-sites kwetsbaar zijn. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

 

bron: https://www.security.nl