WordPress Elementor bevat een bug die een catastrofale bedreiging vormt voor de beveiliging. De kwetsbaarheid treft meer dan 1 miljoen WordPress-sites en kan privé-informatie blootleggen of zelfs leiden tot verwijdering van de site.
Deze week meldde BleepingComputer dat “Essential Addons for Elementor”, een van WordPress’ populairste Elementor plugins, kwetsbaar bleek voor een ongeauthenticeerde privilege escalatie. Hierdoor kan elke niet-geauthenticeerde gebruiker zijn privileges verhogen tot die van elke gebruiker op de WordPress site, inclusief die van de admin.
De getroffen plugin ondersteunt de Elementor page-building oplossing met meer dan 90 creatieve elementen en extensies. Deze plugin voegt kracht toe aan de page builder met behulp van eenvoudig te gebruiken componenten. Deze elementen zijn ontworpen om het ontwerp van WordPress pagina’s en berichten te verbeteren en vereenvoudigen. Naar schatting één miljoen WordPress-sites wereldwijd gebruiken de plugin.
Deze nieuwste bug volgt op een reeks kwetsbaarheden die vorige maand werden ontdekt en die zowel Elementor als Elementor Pro troffen.
CVE-2023-32243 gepatcht
De huidige kwetsbaarheid, die de traceercode CVE-2023-32243 heeft gekregen, werd op 8 mei 2023 ontdekt door Patchstack.
Hackers die deze kwetsbaarheid misbruiken zijn in staat om het wachtwoord van elke gebruiker opnieuw in te stellen. Dat wil zeggen, zolang ze hun gebruikersnaam kennen. In dat geval kunnen ze het wachtwoord van de beheerder resetten en inloggen op zijn account. Deze kwetsbaarheid doet zich voor omdat deze wachtwoord reset functie geen wachtwoord reset sleutel valideert en in plaats daarvan direct het wachtwoord van de gegeven gebruiker wijzigt.
De beschreven kwetsbaarheid treft versies 5.4.0 tot 5.7.1 van de plugin, maar werd op 11 mei verholpen met versie 5.7.2. Het patchen van dit probleem was eenvoudig, aldus Patchstack. De leverancier van de plugin hoefde alleen een functie toe te voegen die controleert of een wachtwoord reset sleutel aanwezig en legitiem is in de reset verzoeken.
Onmiddellijke actie nodig
Wie de plugin Essential Addons for Elementor heeft geïnstalleerd, moet zo snel mogelijk upgraden naar de nieuwe versie. De hier beschreven kwetsbaarheid vormt een aanzienlijke bedreiging. Potentiële gevaren zijn ongeautoriseerde toegang tot privé-informatie, defacement of verwijdering van websites, verspreiding van malware onder bezoekers en repercussies voor het merk, zoals verlies van vertrouwen en problemen met wettelijke naleving.
Patchstack raadt gebruikers ook aan extra aandacht te besteden aan alles wat te maken heeft met het proces van aanmelding, registratie en het resetten/herstellen van wachtwoorden. “We raden ten zeerste aan de check_password_reset_key functie te gebruiken om te controleren op de reset-wachtwoordsleutel”, waarschuwen ze.
8 uur geleden
