Afgelopen zaterdag meldden we al dat 4 WordPress plugins waren getroffen door zeroday kwetsbaarheden. Het ging om Flexible Checkout Fields for WooCommerce, Async JavaScript, 10Web Map Builder for Google Maps en Modern Events Calendar Lite. Nu blijkt dat er nog 3 plugins misbruikt worden, schijnbaar via hetzelfde soort kwetsbaarheden.
Nog 3 WordPress plugins misbruikt
Duplicator
Duplicator maakt het mogelijk om heel gemakkelijk de content van je website te exporteren. Deze WordPress plugin heeft meer dan 1 miljoen actieve installaties. De bug die het voor aanvallers mogelijk maakte om behalve content ook database gegevens te exporteren, is gepatched in versie 1.3.28. Heb jij deze plugin op je WordPress website geïnstalleerd? Dan is het belangrijk om zo snel mogelijk te updaten naar de meest recente versie. Hetzelfde geldt voor gebruikers van Duplicator Pro, de commerciële versie van de plugin.
Profile Builder plugin
Profile Builder is een plugin waarvan de gratis versie meer dan 50.000 actieve installaties heeft. De premium versie heeft er nog eens 15.000. Een bug (die in zowel de gratis als de betaalde versie van de plugin bleek te zitten) maakte het mogelijk voor aanvallers om ongeautoriseerde admin accounts aan te maken. De bug werd gepatched in versie 3.1.1, maar er vinden sinds 24 februari (de dag waarop de proof-of-concept code werf gepubliceerd) aanvallen plaats. Zo snel mogelijk updaten is dus raadzaam als je dat nog niet gedaan hebt.
ThemeREX Addons
ThemeREX Addons is een plugin die je gratis krijgt bij alle commerciële ThemeREX thema’s. Vandaar dat hij niet beschikbaar is op WordPress.org. Ook in dit geval bleek het mogelijk te zijn voor aanvallers om malafide admin accounts aan te maken. Al op 18 februari werd bekend dat de plugin een kwetsbaarheid bevatte, echter is er tot op heden nog geen patch uitgerold. Gebruikers worden daarom geadviseerd de plugin zolang te deactiveren en te verwijderen.
