Duizenden WordPress-sites kwetsbaar door kritiek RCE-lek in plug-in

In dit artikel:

Duizenden WordPress-websites gebruiken de plug-in HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder, die kwetsbaar is voor drie kritieke beveiligingslekken. Deze lekken maken het voor ongeauthenticeerde aanvallers mogelijk om via remote code execution (RCE) de controle over de website over te nemen. De meest ernstige kwetsbaarheid (CVE-2025-7340), beoordeeld met een impactscore van 9,8, stelt aanvallers in staat om willekeurige bestanden op de server te uploaden. De andere twee lekken (CVE-2025-7341 en CVE-2025-7360) kunnen leiden tot het verwijderen of verplaatsen van bestanden, wat eveneens kan resulteren in remote code execution, met beide een score van 9,1. Hoewel de problemen zijn opgelost in versie 2.2.2, die op 10 juli werd uitgebracht, hebben meer dan zestig procent van de websites deze update nog niet geïnstalleerd, waardoor ze kwetsbaar blijven. Securitybedrijven zoals Wordfence en Patchstack waarschuwen voor een mogelijk grootschalig misbruik van deze kwetsbaarheden. De plug-in wordt door meer dan tienduizend sites gebruikt om eenvoudig contactformulieren te beheren, wat de impact van deze beveiligingsproblemen groter maakt. Het is van belang dat beheerders de patch zo snel mogelijk implementeren om hun websites te beschermen tegen mogelijke aanvallen.