WordPress-sites zijn gisteren aangevallen via een zerodaylek in Social Warfare, een plug-in voor het delen van content op social media. Inmiddels is er een beveiligingsupdate beschikbaar en webmasters en beheerders krijgen het dringende advies om die meteen te installeren.

Gisteren maakte een beveiligingsonderzoeker een ongepatchte kwetsbaarheid in Social Warfare bekend. Via het lek kan een aanvaller kwaadaardige JavaScript-code in de “social share” links op de WordPress-site injecteren. Aangezien er op dat moment geen beveiligingsupdate aanwezig was besloot WordPress om de plug-in uit de WordPress.org plug-in repository te verwijderen. Kort na het uitkomen van de informatie over het beveiligingslek werden de eerste websites al aangevallen, zo meldt securitybedrijf Wordfence.

Inmiddels is er een patch beschikbaar en webmasters en beheerders krijgen het advies om zo snel als mogelijk te updaten naar Social Warfare 3.5.3. Wanneer dit niet mogelijk is raden de ontwikkelaars aan om de plug-in uit te schakelen totdat de update kan worden doorgevoerd. De plug-in, die meer dan 70.000 actieve installaties heeft, is door WordPress weer in de repository teruggeplaatst. Gisteren werd bekend dat WordPress-sites ook werden aangevallen via een kwetsbaarheid in de Easy WP SMTP-plug-in.

Image