Een kwetsbaarheid in de populaire page builder plugin WP Bakery raakt meer dan 4 miljoen websites. Er is inmiddels een update met patch uitgebracht, maar nog niet alle WP Bakery gebruikers hebben de plugin geüpdatet. Op deze websites bestaat dan ook nog steeds het risico dat aanvallers misbruik maken van de WP Bakery kwetsbaarheid.
Over de WP Bakery kwetsbaarheid
Het gaat om een zogeheten Authenticated Stored Cross-Site Scripting (XSS) kwetsbaarheid. In tegenstelling tot bij een ‘gewone’ Stored XSS kwetsbaarheid,heeft de aanvaller hierbij de inloggegevens van de website nodig om de aanval uit te voeren. Hierdoor is het risico om daadwerkelijk gehackt te worden minder groot; de aanvaller moet immers de inloggegevens zien te achterhalen alvorens hij schade kan toebrengen. Wanneer de aanvaller wel toegang heeft verkregen, dan kan hij schadelijke JavaScript in de pagina’s en blogberichten op de site injecteren. Daarmee worden vervolgens de browsers van de website bezoekers aangevallen.
Update met patch
De kwetsbaarheid werd eind juli al ontdekt door het Threat Intelligence team van Wordfence, dat direct de ontwikkelaar op de hoogte stelde. WP Bakery ontwikkelaars gingen aan de slag om het lek te dichten en hielden daarbij nauw contact met het Wordfence team. WP Bakery rolde eind augustus een patch uit, maar daarmee waren nog steeds niet alle problemen verholpen. Begin september werd een tweede patch uitgerold. Het lek werd volledig gedicht met de laatste patch, die op 24 september beschikbaar kwam. Er zijn echter heel wat WP Bakery gebruikers die de plugin nog niet geüpdatet hebben. We raden alle gebruikers van de page builder plugin dan ook aan om zo snel mogelijk te updaten naar de meest recente (en meest veilige) versie. Op dit moment is dat versie 6.4.1. Wordfence adviseert admin gebruikers daarnaast om te verifiëren dat er geen ongeautoriseerde gebruikersaccounts op hun WordPress websites zijn aangemaakt.
Lees ook: Veilig WordPress plugins updaten doe je zo!
