Tienduizenden WordPress-sites via lek in plug-in Kirki eenvoudig over te nemen

In dit artikel:

Een kritische fout in de WordPress-plug-in Kirki maakt het voor aanvallers eenvoudig om beheeraccounts van sites over te nemen. Kirki, een visuele builder die door meer dan een half miljoen WordPress-sites wordt gebruikt, bevatte in versies 6.0 tot en met 6.0.6 een logicafwijking in de “wachtwoord vergeten”-procedure. Een aanvaller kan bij een geldige gebruikersnaam zijn eigen e‑mailadres meegeven; de plug-in gebruikt dat adres bij het verzenden van de resetlink in plaats van het e‑mailadres uit de database, waardoor bijvoorbeeld een resetlink voor het admin-account naar de aanvaller kan gaan.

Beveiligingsbedrijf Wordfence meldde dat ontwikkelaars op 15 mei werden geïnformeerd; op 18 mei verscheen versie 6.0.7 met een fix. Volgens WordPress.org draaien ongeveer 200.000 sites op versie 6.x en hebben tienduizenden sites de update nog niet geïnstalleerd, waardoor ze kwetsbaar blijven. Eigenaren van WordPress-sites met Kirki wordt dringend aangeraden direct te updaten naar 6.0.7, verdachte logins en gebruikersaccounts te controleren en wachtwoorden te resetten als er aanwijzingen voor misbruik zijn.