- Er is een SQL-injectiebug gevonden in QSM-plug-in versie 10.3.1 en lager
- Door de kwetsbaarheid kunnen ingelogde gebruikers (abonnee of hoger) gevoelige databasegegevens extraheren
- WordPress-beheerders worden aangemoedigd om QSM bij te werken naar v10.3.2 of hoger om het risico te beperken
Als uw website Quiz en Survey Master gebruikt WordPress-plug-inMisschien wilt u het bijwerken naar de nieuwste versie, anders riskeert u een mogelijke cyberaanval.
Met QSM kunnen gebruikers quizzen, enquêtes en formulieren maken zonder codering, waarbij meer dan 40.000 sites er actief gebruik van maken – maar onlangs werd ontdekt dat versies 10.3.1 en eerder kwetsbaar waren voor een SQL-injectiefout waardoor elke ingelogde gebruiker opdrachten in de database kon injecteren.
Een beveiligingsadvies van Patchstack merkte op dat dit betekent dat elke gebruiker met een ‘abonnee’-account of een account met hogere rechten een breed scala aan ongewenste acties kan uitvoeren op kwetsbare websites, waaronder gegevensexfiltratie.
Hoeveel websites zijn kwetsbaar?
Gebruikers wordt geadviseerd zo snel mogelijk naar deze of een nieuwere versie te updaten. Volgens gegevens op de officiële website WordPress.org is de nieuwste versie 10.3.5.
Helaas is het niet mogelijk om precies te zeggen hoeveel websites zijn gepatcht en hoeveel nog steeds kwetsbaar zijn. Uit officiële cijfers blijkt dat een kleine meerderheid (52,1%) versie 10.3 gebruikt, wat betekent dat minstens 47,9% (wat neerkomt op 19.160 websites) zeker kwetsbaar is. Van de resterende 39.980 draaien tenminste enkele de kwetsbare versie 10.3.1.
Op dit moment is er geen bewijs dat de fout in het wild wordt uitgebuit, maar gezien de populariteit ervan is het veilig om aan te nemen dat bedreigingsactoren nu websites zullen gaan scannen met behulp van QSM. De bug wordt nu bijgehouden als CVE-2025-67987 en is opgelost in versie 10.3.2.
Als algemene vuistregel moeten WordPress-gebruikers deze altijd behouden website bouwer platforms bijgewerkt, evenals alle plug-ins en thema’s die ze gebruiken. Beveiligingsexperts raden ook aan om alle plug-ins en thema’s die niet actief worden gebruikt volledig van de servers te verwijderen.
Via Tijdschrift voor informatiebeveiliging
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
