Elegant Themes heeft afgelopen week aangekondigd dat een aantal van hun producten een zogeheten code injection vulnerability bevatten en onmiddellijk geüpdatet dienen te worden. Dit geldt onder andere voor gebruikers van hun Divi thema. Divi is een van de meest populaire What You See Is What You Get (WYSIWYG) thema’s voor WordPress en er zijn maar liefst 100 extensies voor gebouwd.
Elegant Themes aankondiging
In de aankondiging van Elegant Themes is te lezen dat “ons team tijdens een routinematige code audit een code injection vulnerability ontdekte, welke ingelogde contributors, auteurs en editors in staat stelde om een kleine set PHP functies uit te voeren.” Over het algemeen worden dergelijke code injection vulnerabilities gebruikt om malware op websites te installeren. Met die PHP functies kan de website gecompromitteerd worden. In sommige gevallen kan zelfs de hele server worden platgelegd. In totaal zijn er drie producten die door deze kwetsbaarheid beïnvloed worden: het Divi thema, het Extra thema en de Divi Builder plugin. De kwetsbaarheid geldt voor degenen die gebruik maken van Divi versie 3.23 en hoger, Extra versie 2.23 en hoger en Divi Builder versie 2.23 en hoger.
Maak jij gebruik van het Divi thema, Extra thema of Divi Builder?
Dan is het belangrijk om zo snel mogelijk te updaten naar de meest recente versies van Divi, Extra en de Divi Builder plugin (versies 4.0.10). Als je dat hebt gedaan, loop je geen risico meer. Hoewel de kwetsbaarheid geen gevaar oplevert voor gebruikers die geen publicatierechten hebben verleend aan contributors, auteurs en editors, is het nog steeds raadzaam om de update(s) te installeren. Dit omdat de updates ook meerdere bug fixes bevatten.
Voor meer informatie kun je de aankondiging van Elegant Themes raadplegen.
Lees ook: Veilig WordPress plugins updaten doe je zo!