Er is een kwetsbaarheid ontdekt in een populaire Wordpress-plugin genaamd 'Essential Addons for Elementor'. De kwetsbaarheid aangeduid als CVE-2023-32243 is geclassificeerd als 'kritiek' en heeft een CVSS-score van 9.8 toegekend gekregen. Het gaat hier om een populaire plugin voor Wordpress-websites met meer dan 1 miljoen actieve installaties. Het Nationaal Cyber Security Centrum (NCSC) heeft de kwetsbaarheid ook aangeduid als 'High/High'. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheid worden misbruikt en dat de schade groot kan zijn. Het NCSC is op de hoogte van signalen over actief misbruik.
Wat is het risico?
De kwetsbaarheid stelt ongeauthenticeerde kwaadwillenden in staat om het wachtwoord van willekeurige gebruikers op de getroffen website opnieuw in te stellen, waardoor ze in feite beheerdersrechten krijgen. Wanneer dit gebeurt bij een gebruiker met administratorrechten, dan kan een aanvaller volledige controle krijgen.
Welke versies zijn kwetsbaar?
Het gaat om de plugin Essential Addons for Elementor Versies 5.4.0 tot 5.7.1
Wat kun je doen?
De maker van de plugin heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. Heb je een Wordpress-website draaien met de Essential Addons for Elementor-plugin, dan is het advies om de plugin zo snel mogelijk te (laten) updaten naar de laatste versie.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid of de CyberVeilig Check voor mkb en zzp.