MailPoet lukker alvorligt sikkerhedshul

Artiklen blev oprindeligt publiceret den 29/7/2014

MailPoet, et plugin til nyhedsbreve til WordPress, har en alvorlig sårbarhed, som angribere udnytter aktivt. Hullet er lukket i den seneste version, der kom den 1. juli.

Sikkerhedsfirmaet Sucuri har observeret en række WordPress-websteder, der er inficeret med skadelig software. Årsagen viste sig at være den sårbare udgave af MailPoet, som angriberne udnyttede.

Ifølge Sucuri kan flere websteder på en WordPress-server med pluginnet installeret være sårbare – også selvom de ikke har aktiveret det.

MailPoet er hentet over 1,7 millioner gange, så mange websteder formodes at anvende det.

MailPoet optræder også under navnet Wysija-newsletters. Fejlen er rettet i version 2.6.7.

Anbefaling
Opdater til MailPoet 2.6.7.

Links

• Remote File Upload Vulnerability in WordPress MailPoet Plugin (wysija-newsletters), blogindlæg fra Sucuri
• MailPoet Vulnerability Exploited in the Wild – Breaking Thousands of WordPress Sites, blogindlæg fra Sucuri