WPDeveloper pakt Privilege Escalation kwetsbaarheid aan in ReviewX WordPress Plug-in

Op 20 mei 2023 heeft ons Wordfence Threat Intelligence team een Privilege Escalation kwetsbaarheid in WPDeveloper's ReviewX plugin, die actief is geïnstalleerd op meer dan 10.000 WordPress websites, geïdentificeerd en het verantwoordelijke openbaarmakingsproces gestart. Deze kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller om zichzelf administratieve rechten toe te kennen via een user meta update.

Gebruikers van Wordfence Premium, Wordfence Care en Wordfence Response ontvingen op 22 mei 2023 een firewallregel ter bescherming tegen exploits gericht op deze kwetsbaarheid. Sites die nog steeds de gratis versie van Wordfence gebruiken, ontvangen dezelfde bescherming op 21 juni 2023.

We namen op 20 mei 2023 contact op met WPDeveloper en ontvingen de volgende dag een antwoord. Na het verstrekken van volledige openbaarmakingsdetails heeft de ontwikkelaar op 22 mei 2023 een patch uitgebracht. Wij willen het ontwikkelingsteam van WPDeveloper prijzen voor hun snelle reactie en tijdige patch, die binnen één dag werd uitgebracht.

Wij dringen er bij gebruikers op aan om hun sites zo snel mogelijk bij te werken met de laatste gepatchte versie van ReviewX, die op het moment van dit schrijven versie 1.6.14 is.

[Lees verder bij Wordfence]