Onderzoekers hebben zogeheten authorization bypass bugs ontdekt in drie WordPress plugins, waardoor in totaal 400.000 WordPress websites kwetsbaar zijn voor cyberaanvallen. Het gaat om de InfiniteWP, WP Time Capsule en WP Database Reset plugins.
InfiniteWP Client
InfiniteWP Client is het hardst geraakt door de authentication bypass bug. Deze plugin maakt het mogelijk voor admins om vanaf een enkele server meerdere websites te beheren. Dus als er misbruik wordt gemaakt van de bug, heeft de hacker meteen toegang tot al die websites. InfiniteWP Client heeft met meer dan 300.000 actieve installaties ook het grootste bereik van alle drie de plugins.
Maak jij gebruik van de InfiniteWP Client plugin en draai je versie 1.9.4.4. of lager? Dan moet je zo snel mogelijk updaten naar versie 1.9.4.5.
WP Time Capsule
WP Time Capsule is een plugin die het makkelijk maakt om backups te maken van je website data. De gratis versie van de plugin is actief op ruim 20.000 WordPress websites.
Maak jij gebruik van de WP Time Capsule plugin? Versie 1.21.16 bevat een patch, dus je kunt het beste direct updaten als je nog een oudere versie draait.
WP Database Reset
WP Database Reset maakt het mogelijk om de WordPress database met slechts enkele kliks te resetten. Door de bug kunnen kwaadwillende gebruikers dus in feite alle data van de website verwijderen, inclusief pagina’s, blogposts, gebruikers en instellingen. Een tweede kwetsbaarheid in deze plugin zorgt ervoor dat elke ingelogde gebruiker (ook met beperkte systeemrechten) admin privileges kan verkrijgen en zo alle andere gebruikers kan buitensluiten. WP Database Reset heeft ruim 80.000 actieve installaties.
Om bovengenoemde problemen te voorkomen wordt aangeraden om de plugin onmiddellijk te updaten naar versie 3.15; deze update bevat patches voor beide bugs.
Meer weten over deze authentication bypass bugs?
Het goede nieuws is dat er vooralsnog geen berichten zijn over misbruik van de kwetsbaarheden in deze plugins. Wil je meer weten over de authentication bypass bugs, dan kun je deze blogpost op Wordfence.com raadplegen.