Er is een kwetsbaarheid ontdekt in de Forminator WordPress plug-in voor contactformulieren. Inmiddels is er een patch gelanceerd, maar meer dan 400.000 websites lopen nog gevaar.
Een kwetsbaarheid in de Forminator WordPress plug-in voor contactformulieren, met een CVSS-score van 9,8 en dus kritiek, brengt mogelijk meer dan 400.000 websites in gevaar. Er is intussen wel een patch gelanceerd voor de honderdduizenden sites die gebruik maken van deze plug-in.
Actie en reactie
De meeste kwetsbaarheden kunnen pas worden uitgebuit wanneer een aanvaller zelf het niveau van WordPress-gebruiker of -admin heeft. Dat is hier echter niet het geval, aanvallers hebben geen authenticatie nodig. Dat maakt deze kwetsbaarheid dan ook extra gevaarlijk.
Hackers kunnen nu kwaadaardige bestanden uploaden op de gecompromitteerde sites, om zo vanop afstand code uit te voeren. Dit is mogelijk omdat de kwetsbaarheid zorgt voor onvoldoende validatie bij bestanden. In het ergste geval kan een aanvaller dus de volledige site overnemen.
lees ook
Populaire WordPress-plugin AIOS stockeerde wachtwoorden als leesbare tekst
Volgens de Amerikaanse National Vulnerability Database en de security-plug-in Wordfence WordPress pakt update 1.25.0. van Forminator de kwetsbaarheid aan. Websites die gebruik maken van de builder voor onder andere contactformulieren, updaten dus best zo snel mogelijk naar die versie.
Het is niet de eerste keer dat een plug-in voor WordPress met serieuze problemen kampt. Vorige maand bleek ook Ultimate Members een kritieke kwetsbaarheid te bevatten. Eerder dit jaar werd een lek bij Jetpack ook al proactief gerepareerd door WordPress.