Op 12 maart 2020 ontdekte door het Threat Intelligence-team van Wordfence een opgeslagen Cross-Site Scripting (XSS) ernstige kwetsbaarheid in Widget Settings Importer / Exporter, een WordPress-plug-in met meer dan 40.000 installaties. Door deze fout kon een geverifieerde aanvaller met minimale machtigingen op abonneeniveau aangepaste widgets importeren en activeren die willekeurige JavaScript bevatten op een site waarop de plug-in is geïnstalleerd.
Impact van kwetsbaarheid
Het Threat Intelligence-team van Wordfence heeft diezelfde dag, 12 maart 2020, contact opgenomen met de ontwikkelaar(s) van de WordPress plugin, maar zij hadden toen nog geen reactie ontvangen.
Op 20 maart 2020 heeft Threat Intelligence team van Wordfence contact opgenomen met het team van WordPress plugins en aan hen de volledige bekendmaking van de ernstige kwetsbaarheid gestuurd, en na follow-up op 13 april 2020 is deze WordPress plugin verwijderd uit de WordPress-repository:
Advies: geen patch beschikbaar, deactiveer en verwijder
Aangezien er momenteel geen patch beschikbaar is, raden we u ten zeerste aan deze plug-in te deactiveren en te verwijderen.
Wordfence Security Blog
Lees voor meer informatie de gedetailleerde blog op https://www.wordfence.com/blog/2020/04/unpatched-high-severity-vulnerability-in-widget-settings-importer-exporter-plugin/
Vragen & ondersteuning
Voor vragen en ondersteuning kunt u contact opnemen met info@solutions4hosting.nl of maak gebruik van ons contactformulier.