Vier WordPress plugins zijn de afgelopen week getroffen door zeroday kwetsbaarheden. Het gaat om zogeheten cross-site scripting (XSS) kwetsbaarheden, waarmee kwaadwillenden in staat zijn een admin account voor zichzelf aan te maken. De plugins in kwestie zijn Flexible Checkout Fields for WooCommerce, Async JavaScript, 10Web Map Builder for Google Maps en Modern Events Calendar Lite.
Flexible Checkout Fields for WooCommerce
Flexible Checkout Fields is een extensie voor WooCommerce waarmee extra invoervelden aan de checkout pagina van een webwinkel kunnen worden toegevoegd. Meer dan 20.000 webshops maken daar gebruik van. Afgelopen woensdag werden de ontwikkelaars van de zeroday kwetsbaarheid op de hoogte gesteld. Nauwelijks een paar uur later werd er al een update voor de plugin uitgerold: versie 2.3.2. Deze bevat een patch om het lek te dichten.
Async JavaScript
Async JavaScript maakt het mogelijk om te betalen welke scripts een ‘async’ of ‘defer’ attribuut gebruiken. Dit is een van de vele methodes met betrekking tot je WordPress snelheid verbeteren. De Async JavaScript plugin is actief op ruim 100.000 WordPress websites. Ook hiervoor werd relatief snel een update met patch uitgerold: versie 2.20.02.27.
10Web Map Builder for Google Maps
10Web Map Builder for Google Maps maakt het mogelijk om een onbeperkt aantal custom Google Maps kaarten aan je WordPress website toe te voegen. De plugin heeft meer dan 20.000 actieve installaties. Op 27 februari verscheen versie 1.0.64. Deze update bevat een patch voor de genoemde kwetsbaarheid.
Modern Events Calendar Lite
Modern Events Calendar Lite is een plugin die ontwikkeld werd voor het beheren van allerlei soorten evenementen op je WordPress website. De plugin heeft ruim 40.000 actieve installaties. Toevallig werd er vanochtend een update uitgerold, dus we gaan ervan uit dat die een patch voor het lek bevat. Daar is op dit moment echter nog geen bevestiging van.
Hoe kun je jezelf beschermen tegen deze zeroday kwetsbaarheden?
Maak jij gebruik van een of meer van de bovenstaande WordPress plugins? Dan wordt je geadviseerd zo snel mogelijk te updaten naar de meest recente versie. Websites die nog van een oude versie van de getroffen plugins gebruik maken, lopen nog steeds risico! Naast het up-to-date houden van je WordPress plugins kan het raadzaam zijn om gebruik te maken van een extra beveiligingslaagje, bijvoorbeeld in de vorm van de NinjaFirewall plugin.