Een gecombineerde aanval op Elementor Pro en Ultimate Addons for Elementor heeft meer dan een miljoen WordPress websites in gevaar gebracht. Dat heeft het Threat Intelligence team van Wordfence bekend gemaakt.
Kwetsbaarheden in Elementor Pro en Ultimate Addons for Elementor
Het Wordfence team ontdekte op 6 mei 2020 kwetsbaarheden in twee gerelateerde WordPress plugins. De eerste is Elementor Pro, de premium versie van de bekende page builder plugin Elementor. Deze plugin bevat een zero day kwetsbaarheid, waarvan misbruik kan worden gemaakt als gebruikersregistratie staat ingeschakeld.
De tweede plugin is Ultimate Addons for Elementor. De kwetsbaarheid in deze plugin zorgt ervoor dat er misbruik kan worden de kwetsbaarheid in Elementor Pro, ook als gebruikersregistratie op de betreffende website niet is ingeschakeld.
Het risico op exploitatie is dus het grootste bij websites die van beide plugins gebruik maken. Volgens Wordfence is het voor een aanvaller mogelijk om een backdoor of zogeheten webshell op je site te installeren en volledige administratieve toegang tot je site te verkrijgen.
Elementor Pro staat op meer dan 1 miljoen websites geïnstalleerd, Ultimate Addons for Elementor op zo’n 110.000 websites.
Voor de duidelijkheid: de genoemde kwetsbaarheden hebben geen invloed op de gratis Elementor plugin, welke gratis te downloaden is via WordPress.org. De Elementor Pro plugin is een aparte download die beschikbaar is op Elementor.com
Updates met patches
Al op 7 mei, een dag nadat Wordfence de kwetsbaarheden ontdekte, kwam Elementor met versie 2.9.4. Het Threat Intelligence team heeft geverifieerd dat deze update een patch voor de kwetsbaarheid bevat. Gebruikers worden dan ook geadviseerd onmiddellijk te updaten. Ook de ontwikkelaar van Ultimate Addons for Elementor heeft inmiddels een update met patch uitgerold; hiervoor heb je versie 1.24.2 of nieuwe van de plugin nodig.
Wil je meer weten over de kwetsbaarheden in deze twee plugins, dan kun je de blogpost van Wordfence raadplegen.
