200.000 WordPress-sites via lek in SMTP-plug-in op afstand over te nemen

In dit artikel:

Ongeveer 200.000 WordPress-websites lopen risico vanwege een ernstige kwetsbaarheid in de Post SMTP-plug-in, waarmee e-mails via WordPress ingesteld en verstuurd worden. Deze beveiligingsfout maakt het mogelijk voor elke gebruiker met een account, zelfs zonder speciale rechten, om e-mails van andere gebruikers te onderscheppen en te lezen. Dit omvat tevens gevoelige informatie zoals wachtwoordresetmails, waarmee een aanvaller toegang tot beheerdersaccounts kan verkrijgen door wachtwoordresets af te handelen namens een administrator. De kwetsbaarheid werd opgelost in versie 3.3.0 van Post SMTP, die op 11 juni werd uitgebracht. Desondanks blijkt uit de statistieken van WordPress.org dat slechts de helft van de ruim 400.000 sites met deze plug-in de update heeft doorgevoerd, waardoor de andere 200.000 websites nog steeds kwetsbaar zijn voor potentiële aanvallen. Beveiligingsbedrijf Patchstack waarschuwt dat het lek naar verwachting op grote schaal zal worden misbruikt nu de details openbaar zijn gemaakt. Het incident benadrukt het belang van tijdig updaten van plug-ins om beveiligingsrisico's te minimaliseren.