Een kritieke fout in de Elementor Website Builder plug-in op WordPress werd ontdekt. De nieuwste versie van de plug-in lost het probleem op, snel updaten is daarom aangeraden.
De Elementor Website Builder plug-in bevatte een fout waardoor het mogelijk werd code uit te voeren vanop afstand. Door de kwetsbaarheid uit te buiten, kan het thema en de naam van de website gewijzigd worden.
Het is niet zeker of de ontdekte fout uit te buiten is zonder authenticatie. Zelfs als dat niet mogelijk is, blijft de kans op uitbuiting een reëel risico. Voor de authenticatie is het namelijk al voldoende om jezelf te registreren op de website.
lees ook
Bijna 3 miljoen WordPress-websites geforceerd geüpdatet wegens ernstige kwetsbaarheid
Elementor 3.6.0
Onderzoekers van de WordPress beveiligingsservice Plugin Vulnerabilities ontdekten de kwetsbaarheid en publiceerden daar afgelopen week een rapport over met technische details.
Versie 3.6.0 van Elementor zou de fout bevatten. Deze versie werd vorige maand uitgebracht. Volgens de cijfers van WordPress werd de versie gedownload door 30,7% van de Elementor-gebruikers.
Ontwikkelaars hebben nu al een nieuwe versie uitgebracht, versie 3.6.3, die het probleem oplost. De versie werd al gretig gedownload, maar op dit moment zijn nog ongeveer 500.000 websites kwetsbaar.