Websites die WordPress gebruiken, moeten deze twee plugins verwijderen.

Volgens The Hacker News kampen twee WordPress-plugins, Malware Scanner en Web Application Firewall van miniOrage, met een kritieke beveiligingskwetsbaarheid, CVE-2024-2172, die is ontdekt door Stiofan en een ernstscore van 9,8 op 10 heeft volgens het CVSS-systeem.

De kwetsbaarheid had een wijdverspreide impact, want hoewel de ontwikkelaar de app op 7 maart 2024 uit de WordPress-appwinkel verwijderde, kon deze nog steeds problemen veroorzaken. Malware Scanner bleek namelijk op maar liefst 10.000 websites geïnstalleerd en actief te zijn, vergeleken met 300 voor Web Application Firewall.

Wordfence verklaarde dat deze kwetsbaarheid het gevolg was van een gebrek aan controles in de code van de plugin, waardoor een aanvaller willekeurig het wachtwoord van een gebruiker kon wijzigen en zonder authenticatie beheerdersrechten kon verkrijgen, wat potentieel kon leiden tot een volledige compromittering van de website.

Met beheerdersrechten kunnen hackers eenvoudig extra plug-ins downloaden, kwaadaardige zip-bestanden met backdoors erin vinden en websiteberichten aanpassen om gebruikers door te sturen naar andere kwaadaardige websites.

Eerder werd een vergelijkbare plugin genaamd RegistrationMagic gemeld met kwetsbaarheidscode CVE-2024-1991 en CVSS-score 8.8, wat eveneens een ernstige kwetsbaarheid voor privilege-escalatie betreft. Deze plugin is ook meer dan 10.000 keer gedownload en geïnstalleerd.

WordPress is een populair open-source contentmanagementsysteem (CMS) dat wereldwijd veel gebruikt wordt. De eenvoudige installatie, het uploaden van content en het beheer maken het een ideaal platform voor diverse soorten websites, zoals webwinkels, portals en discussieforums. Volgens w3techs gebruikt 43,1% van alle websites wereldwijd momenteel dit CMS-platform.