Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Laatste wijziging op 2-april-2023
Kwetsbaarheden CVE's
Kwetsbaarheid in WordPress-plug-in Elementor Pro maakt overname van websites mogelijk
Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress-plug-in Elementor Pro om zo kwetsbare websites over te nemen of verkeer naar andere sites door te sturen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Naast de gratis Elementor-plug-in is er ook de betaalde plug-in Elementor Pro. Wanneer Elementor Pro en WooCommerce zijn geïnstalleerd, een plug-in om van WordPress-sites een webwinkel te maken, kan een standaardgebruiker zichzelf beheerder van de website maken. De kwetsbaarheid in Elementor Pro maakt het namelijk mogelijk om de registratiepagina in te schakelen, wanneer die is uitgeschakeld, en de standaardrol naar beheerder te zetten. Elk aangemaakt account heeft dan beheerdersrechten. Daarnaast is het ook mogelijk om het e-mailadres van alle actieve beheerders te wijzigen of al het verkeer naar de WordPress-site naar een andere website door te sturen. Op 22 maart kwamen de ontwikkelaars van Elementor met een update, maar die maakt niet echt duidelijk wat het probleem is. "Improved code security enforcement in WooCommerce components", aldus de beschrijving. Inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo meldt securitybedrijf Patchstack. Beheerders wordt dan ook aangeraden om de update installeren.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers