Gebruikers van de WordPress-plug-in WP Statistics zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller websites volledig kan overnemen. WP Statistics is op meer dan 300.000 websites geïnstalleerd en geeft webmasters uitgebreide informatie en statistieken over websitebezoekers.

De plug-in bleek gebruikersinvoer niet goed te filteren, waardoor een SQL injection-aanval mogelijk is. Een aanvaller kon zo toegang tot gevoelige informatie in de database krijgen en de WordPress-installatie compromitteren, zo waarschuwt securitybedrijf Sucuri. Om de aanval uit te voeren moet de aanvaller wel over een "subscriber-account" beschikken. Webmasters en beheerders krijgen het advies om te updaten naar WP Statistics 12.0.8 waarin het probleem is verholpen.

Bron: Security.nl