Op maandag 4 mei 2020 ontdekte het Wordfence Threat Intelligence-team twee kwetsbaarheden die aanwezig zijn in Page Builder door SiteOrigin, een WordPress-plug-in die actief is geïnstalleerd op meer dan 1.000.000 sites. Beide gebreken stellen aanvallers in staat namens een sitebeheerder verzoeken te vervalsen en schadelijke code uit te voeren in de browser van de beheerder. De aanvaller moet een sitebeheerder misleiden om een actie uit te voeren, zoals klikken op een link of een bijlage, om de aanval te laten slagen.
In deze post heeft Wordfence twee tekortkomingen in de Page Builder by SiteOrigin-plug-in beschreven waarmee aanvallers namens een sitebeheerder verzoeken konden vervalsen en kwaadaardige code konden uitvoeren in de browser van die beheerder. Deze gebreken zijn volledig gepatcht in versie 2.10.16. We raden gebruikers aan onmiddellijk te updaten naar de nieuwste beschikbare versie.
Wil je meer weten over deze kwetsbaarheid in deze plugin, dan kun je de blogpost van Wordfence raadplegen.
