Een beveiligingsstroom gevonden in de WordPress-plug-in van wpDiscuz waarmee hackers eenvoudig kwaadaardige code op elke website kunnen injecteren.
Deze kwetsbaarheid werd voor het eerst geïdentificeerd door beveiligingsexperts van Wordfence, die verder bevestigen dat hackers met deze fout ook PHP-bestanden kunnen uitvoeren en willekeurige bestanden kunnen uploaden naar de website waarop deze plug-in is geïnstalleerd.
wpDiscuz biedt een alternatief voor het commentaarsysteem voor WordPress, net als jetpack-opmerkingen, Disqus of elke andere bekende commentaarplug-in.
Deze beveiligingsfout werd voor het eerst geïdentificeerd door Wordfence en had wpDiscuz gevraagd om het te repareren. Na een paar dagen zeiden de ontwikkelaars dat ze het hadden opgelost. Maar later, in de laatste update van de WordPress-plug-in, werd dit probleem opnieuw ontdekt. Wordfence merkte het op en vertelde dat de patch het beveiligingslek tot nu toe niet kon verhelpen.
Het probleem werd gevonden in versie 7 van de WordPress-plug-in, in de functie waarmee gebruikers afbeeldingen naar de reacties kunnen uploaden. Het systeem kan niet detecteren of de bestandsextensie een afbeelding of kwaadaardige code is.
Vanaf nu is het het beste voor de webontwikkelaars die wpDiscuz gebruiken om er vanaf te stappen als de plug-in niet binnen 24 uur een patch krijgt. Door de plug-in te behouden, kunnen hackers uw sites en alle andere sites die daarmee verband houden hacken. host het risico loopt te worden gehackt.