Een kritieke kwetsbaarheid in de populaire Elementor-plug-in voor WordPress maakt het mogelijk om websites op afstand over te nemen. Een beveiligingsupdate is sinds afgelopen dinsdag beschikbaar. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.

Meer dan vijf miljoen WordPress-sites maken gebruik van Elementor. In versie 3.6.0 tot en met 3.6.2 zit een kritiek lek waardoor elke geauthenticeerde gebruiker willekeurige PHP-code kan uploaden en uitvoeren. Met de lancering van versie 3.6.0 is een nieuwe onboarding-module toegevoegd voor het vereenvoudigen van de initiƫle setup van de plug-in. De module voert bepaalde acties pas uit als de gebruiker over een geldige nonce beschikt.

De impact van de kwetsbaarheid, aangeduid als CVE-2022-1329, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De Elementor-ontwikkelaars werden op 29 maart ingelicht en kwamen op 12 april met versie 3.6.3 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence dat de kwetsbaarheid ontdekte.

Bron: Security.nl (https://www.security.nl/posting/750334/WordPress-sites+kwetsbaar+door+kritieke+kwetsbaarheid+in+Elementor-plug-in)



17-04-2022

« Terug