Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren.

De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. 

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Pas op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar.

Alles bij de bron; Security