Opnieuw zijn websites met een commerciële WordPressplug-in het doelwit van aanvallers geworden. Afgelopen dinsdag werd gewaarschuwd voor aanvallen op de plug-in Simple Social Buttons. Nu blijkt dat ook WordPress-sites met de plug-in Cost Estimation & Payment Forms Builder het doelwit van aanvallen zijn. Via de plug-in kunnen websites allerlei berekeningsformulieren toevoegen.

Een aantal maanden geleden werden verschillende kwetsbaarheden in de plug-in door de ontwikkelaar gepatcht. Destijds werd er echter geen melding van deze beveiligingslekken gemaakt. Eind januari ontdekten onderzoekers van securitybedrijf Wordfence dat aanvallers deze kwetsbaarheden gebruikten om WordPress-sites over te nemen. Tijdens het onderzoek naar de aanvallen ontdekten de onderzoekers ook een nieuw beveiligingslek in de plug-in.

De ontwikkelaar werd op 26 januari door de onderzoekers geïnformeerd en bracht op 31 januari een update uit. Beheerders van WordPress-sites die van Cost Estimation gebruikmaken krijgen het advies om naar de laatste versie te updaten. Volgens de website CodeCanyon, waarop de plug-in wordt aangeboden, is die bijna 12.000 keer verkocht.