Meer dan 100.000 WordPress Websites zijn getroffen door een kritiek lek in de Ultimate Member plug-in
→ ik wil graag iemand spreken
Kritiek lek Ultimate Member Plugin
WordFence, het bedrijf achter een veelgebruikte beveiligingsplug-in van WordPress websites heeft op 23 februari 2024 gemeld dat er een kritieke kwetsbare plek (vulnerability) zit in de populaire plug-in Ultimate Member. Het lek kwam aan het licht via Christiaan Swiers deelnemer van hun Bug Bounty Extravaganza programma. Een programma waarbij mensen een vergoeding ontvangen wanneer ze kritieke fouten & kwetsbaarheden die ze tegen komen doorgeven.
Veiligheidsrisico’s en kwetsbaarheden krijgen een gestandaardiseerde score (CVSS). Deze score loop van nul tot tien, waarbij 10 het meest kritiek is. De vulnerability in de Ultimate Member Plugin krijgt een 9.8 en is dus heel kritiek.
Welke gebruikers zijn getroffen?
Het gaat om gebruikers die Ultimate Member gebruiken (versie 2.1.3 tot en met 2.8.2) én die ‘Enable custom table for usermeta’ hebben ingeschakeld.
In totaal zijn dat meer dan 100.000 gebruikers.
De oplossing.
De oplossing: zo snel mogelijk Ultimate Member updaten naar versie 2.8.3. Hierin zit een beveiligingsupdate die deze vulnerability repareert.