Lek in WordPress-plug-in met 30.000 installaties maakt aanvaller admin

In dit artikel:

Een kritieke fout in de betaalde WordPress‑plug-in Tutor LMS Pro (meer dan 30.000 installaties) liet aanvallers administratorrechten verkrijgen. De plug‑in, bedoeld voor e‑learning en met ondersteuning voor inloggen via Google of Facebook, controleerde alleen of een verstrekt OAuth‑token geldig was, niet of dat token overeenkwam met het opgegeven e‑mailadres. Daardoor kan iemand zijn eigen geldige token combineren met het e‑mailadres van een willekeurige gebruiker (bijvoorbeeld een site‑beheerder) en zo als admin inloggen.

Securitybedrijf Wordfence rapporteerde het probleem; ontwikkelaar werd op 14 januari geïnformeerd en bracht op 30 januari een patch uit. Omdat het een betaalde plug‑in is, is onbekend hoeveel sites de update al hebben doorgevoerd. Beheerders wordt aangeraden de update direct te installeren om kaping van sites te voorkomen.