Meer dan 200.000 WordPress-sites zijn kwetsbaar vanwege een kritiek beveiligingslek in een plug-in. De kwetsbaarheid bevindt zich in Royal Elementor Addons and Templates.
CVE-2023-5360
Deze plug-in is onderdeel van Elementor: een page builder plug-in die de standaard WordPress-editor vervangt. Met Elementor krijgen gebruikers meer vrijheid en mogelijkheden om hun WordPress-site vorm te geven. Het bevat allerlei extra functionaliteiten door de vele plug-ins die ervoor beschikbaar zijn. Een kritiek file upload beveiligingslek in de plug-in, CVE-2023-5360 genaamd, maakt het mogelijk voor een ongeauthenticeerde gebruiker om malafide PHP-bestanden te uploaden.
Update 1.3.79
De impact van de kwetsbaarheid is beoordeeld met een 9,8 op een schaal van 1 tot en met 10. Volgens Wordfence was de exploit voor de kwetsbaarheid eind juli al in ontwikkeling. De eerste aanvallen vonden in augustus plaats met een piek op 3 oktober. Drie dagen later bracht de ontwikkelaar van de plug-in een update (1.3.79) uit om het probleem te verhelpen. Op amper de helft van de kwetsbare websites is deze echter geïnstalleerd volgens cijfers van WordPress.
Klik hier voor het bericht van Wordfence over de kwetsbaarheid.