Säkerhetsforskare vid Wordfence har upptäckt sårbarheter i de populära Wordpress-insticksprogrammen Elementor och WP Super Cache, rapporterar The Hacker News. Elementor används av över sju miljoner webbsidor medan WP Super Cache används av över två miljoner.
I Elementor ska det handla om en uppsättning XSS-sårbarheter som uppstår när ett skadligt script körs direkt i webbapplikationen. På grund av att HTML-tags inte valideras av serversidan innebär det att en anfallare skulle kunna utnyttja det för att lägga in Javascript i ett inlägg eller på en sida.
I WP Super Cache fall ska det istället handla om en RCE-sårbarhet som skulle göra det möjligt för en anfallare att ladda upp och köra skadlig kod för att ta kontroll över en webbsida.
Elementor ska underrättats om bristen den 23 februari och åtgärdade den i samband med version 3.1.4 som släpptes 8 mars. Utvecklaren Automatic, som ligger bakom WP Super Cache, ska också åtgärdat sin brist i version 1.7.2.
Användare rekommenderas nu att uppdatera båda insticksprogrammen till sina senaste versioner så snart som möjligt.
Läs också: Ny våg av ddos-attacker – tusentals oskyddade servrar kan användas