Recente rapporten van securitybedrijf Wordfence onthullen een alarmerende kwetsbaarheid in de veelgebruikte Ultimate Member plug-in voor WordPress. Ongeveer honderdtwintigduizend WordPress-sites lopen het risico op cyberaanvallen als gevolg van dit lek, dat ernstige gevolgen kan hebben voor de veiligheid en integriteit van deze websites.
Over de Kwetsbaarheid:
Ultimate Member, een populaire “profile & membership” plug-in, stelt WordPress-sites in staat om gebruikers en abonnementen te beheren, waaronder toegang tot specifieke content voor betalende gebruikers. Echter, recente bevindingen tonen aan dat de plug-in vatbaar is voor SQL-injectie, wat kwaadwillende in staat stelt gevoelige informatie uit de database te halen en zelfs de controle over de website over te nemen. Het ernstige beveiligingslek, aangeduid als CVE-2024-1071, wordt beoordeeld met een alarmerende 9.8 op een schaal van 1 tot 10.
Updates en Risico’s:
Hoewel een patch voor het lek enkele dagen geleden is uitgebracht in versie 2.8.3 van de plug-in, hebben naar schatting nog eens honderdtwintigduizend websites deze update niet geïmplementeerd. Dit betekent dat deze sites kwetsbaar blijven voor potentieel misbruik van het lek. Het is belangrijk op te merken dat misbruik van het lek alleen mogelijk is wanneer de optie ‘Enable custom table for usermeta’ is ingeschakeld.
Conclusie:
De onthulde kwetsbaarheid in de Ultimate Member plug-in benadrukt het belang van regelmatige updates en het proactief beheren van plug-ins voor WordPress-sites. Websitebeheerders wordt dringend geadviseerd de recente patch te installeren om het risico op cyberaanvallen te minimaliseren en de veiligheid van hun online platform te waarborgen.
