Criminelen hebben de afgelopen dagen een grootschalige aanval op WordPress-sites uitgevoerd waarbij werd geprobeerd om die via een kwetsbare plug-in over te nemen en een update voor het beveiligingslek is niet beschikbaar. De aanvallers maken misbruik van een kwetsbaarheid in de Kaswara Modern WPBakery Page Builder add-on. 

Het beveiligingslek, aangeduid als CVE-2021-24284, werd vorig jaar april openbaar gemaakt. De ontwikkelaars van de add-on hebben echter nooit een beveiligingsupdate uitgebracht en bieden de uitbreiding inmiddels ook niet meer aan. Daardoor zijn alle WordPress-sites waar de plug-in is geïnstalleerd nog steeds kwetsbaar, webmasters krijgen dan ook het advies om de uitbreiding te verwijderen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. 

Alles bij de bron; Security