50.000 WordPress-sites kwetsbaar door lek in plugin
Cybercriminelen maken actief misbruik van een zero day-lek in een plugin die op 50.000 WordPress-websites wordt gebruikt. Het gaat om de Contact Form for WordPress – Ultimate Form Builder Lite plugin, die is ontwikkeld door AccessPress Themes.
Het lek is ontdekt door het beveiligingsbedrijf WordFence. Brad Haas, Senior Security Analyst bij WordFence, schrijft in een blogpost dat WordFence in september drie plugins heeft ontdekt met kritieke object injection kwetsbaarheden, die allen actief werden misbruikt door cybercriminelen. Tijdens nader onderzoek naar deze beveiligingsproblemen is de nieuwe kwetsbaarheid in Contact Form for WordPress – Ultimate Form Builder Lite plugin ontdekt.
SQL-injectie en PHP object injection
De exploit bestaat uit een combinatie van een SQL-injectie kwetsbaarheid en een PHP object injection kwetsbaarheid. Deze combinatie stelt aanvallers in staat een kwetsbare website over te nemen met één enkel verzoek naar /wp-admin/wp-ajax.php.
Het lek is op 13 oktober door WordFence gemeld bij AccessPress Themes, dat op 23 oktober een update voor de plugin beschikbaar heeft gesteld. WordFence publiceert daarom nu details over het datalek.