WordPress-sites aangevallen via beveiligingslek in Elementor-uitbreiding

In dit artikel:

Beveiligingsbedrijf Wordfence meldt dat WordPress-sites momenteel actief worden aangevallen via een lek in de plug-in King Addons for Elementor. Elementor zelf is een populaire page builder die op meer dan tien miljoen sites wordt gebruikt; King Addons voegt templates en widgets toe en draait op meer dan tienduizend sites. De kwetsbaarheid liet bij registratie toe dat gebruikers een rol kiezen, waardoor een ongeverifieerde aanvaller zich als administrator kon aanmaken en volledige controle over een site kon krijgen.

Het lek, met een impactscore van 9,8/10, is op 25 september verholpen in versie 51.1.35, maar de release-opmerkingen noemden slechts vage “security improvements”. Details werden op 30 oktober openbaar, waarna het eerste misbruik al op 31 oktober werd gezien. Het exacte aantal nog kwetsbare sites is onbekend maar kan volgens WordPress.org-cijfers in de duizenden lopen.

Advies: update King Addons onmiddellijk naar de gepatchte versie, controleer gebruikersaccounts op verdachte administrators en neem backups en aanvullende beveiligingsmaatregelen om verdere schade te voorkomen.