Op 31 augustus 2021 is een kwetsbaarheid in Sassy Social Share ontdekt, een WordPress plugin die op meer dan 100.000 WordPress websites is geïnstalleerd. De kwetsbaarheid gaf gebruikers op abonnee-niveau de mogelijkheid om code op afstand uit te voeren en een kwetsbare site over te nemen. Sites waarop iedereen zich als nieuwe gebruiker kan registreren bieden de mogelijkheid om je als abonnee aan te melden, en die sites zijn kwetsbaar voor dit beveiligingslek.
Sites de gratis versie van Wordfence gebruiken, hebben op 30 september 2021 bescherming gekregen voor de kwetsbaarheid in de Sassy Social Share plugin.
De kwetsbaarheid in de plugin maakte het voor kwaadwillenden mogelijk om plugin-instellingen te importeren en kwaadaardige PHP-code te injecteren.
Op 17 september 2021 is een patch uitgebracht in pluginversie 3.3.24. Nu iedereen ruim de tijd heeft gehad de plugin naar de veilige versie bij te werken is de kwetsbaarheid publiek bekendgemaakt.
Sassy Social Share is een eenvoudig te gebruiken plugin waarmee de aanwezigheid van een site op sociale media kan worden verbeterd. Een van de recente updates van de plugin gaf de mogelijkheid om de instellingen voor de plugin te importeren en exporteren. Helaas was dit onveilig geïmplementeerd, waardoor geverifieerde gebruikers de instellingen van de plugin konden importeren samen met het willekeurig injecteren van PHP-code.
Mocht je de plugin nog niet hebben bijgewerkt: update plugin Sassy Social Share naar versie 3.3.25!