Lek in NextGen Gallery plugin: nog duizenden WordPress sites kwetsbaar

Lek in NextGen Gallery plugin

Duizenden WordPress sites zijn kwetsbaar vanwege een kritieke kwetsbaarheid in de NextGen Gallery plugin. Deze populaire WordPress plugin, die meer dan 800.000 actieve installaties heeft, is ontwikkeld voor het bouwen van aantrekkelijke, responsive fotogalerijen. Hoewel de ontwikkelaar al een tijdje geleden een update uitbracht, is er een groot aantal gebruikers die de update nog niet geïnstalleerd heeft. Duizenden WordPress sites lopen dus nog steeds risico.

Lek in NextGen Gallery plugin 

In december ontdekte het Threat Intelligence Team van Wordfence twee Cross-Site Request Forgery (CSRF) kwetsbaarheden in NextGen Gallery, waarvan er een kan leiden tot Remote Code Execution (RCE) en Stored Cross-Site Scripting (XSS). Misbruik van deze kwetsbaarheden kan leiden tot malafide doorverwijzingen, spam injecties, phishing en volledige overname van de website. Het Threat Intelligence Team bracht onmiddellijk de ontwikkelaar van de plugin op de hoogte. Die stuurde twee dagen later, op 16 december, een nieuwe versie van de plugin naar Wordfence, waarop het team concludeerde dat de patch het lek repareerde. De dag erna, op 17 december, werd de update met patch uitgerold.

de beste en snelste wordpress webhosting

Nog veel sites kwetsbaar

Inmiddels zijn we bijna twee maanden verder, maar er zijn nog altijd veel gebruikers die de plugin niet geüpdatet hebben. Hun websites zijn nog altijd kwetsbaar. Dit is met uitzondering van de sites die gebruik maken van Wordfence; premium Wordfence gebruikers kregen al op 14 december een firewall regel om hun sites te beschermen. Gebruikers van de gratis Wordfence versie kregen deze firewall regel 30 dagen later, op 13 januari.

Zo snel mogelijk updaten

Maak jij ook gebruik van de NextGen Gallery plugin en heb je deze nog niet geüpdatet naar de meest recente versie? Dan adviseren we om dit meteen te doen. Maak wel altijd eerst even een volledige backup van je website.

Lees ook: Veilig WordPress plugins updaten doe je zo!

Geef een reactie