Het Australische cybersecuritycentrum ACSC waarschuwt voor een wereldwijde aanvalscampagne gericht op websites die draaien op verouderde contentmanagementsystemen. Aanvallers scannen massaal op bekende kwetsbaarheden en plaatsen webshells — kleine scripts die hen blijvende toegang tot de webserver geven.
De campagne richt zich niet op één platform. Getroffen worden onder meer WordPress (via meerdere plugins), Craft CMS, MaxSite CMS, MetInfo en de JCE-editor van Joomla. In totaal worden ruim een dozijn CVE’s misbruikt, waaronder lekken in de WordPress-plugins Simple File List (CVE-2025-34085), Ninja Forms (CVE-2026-0740), WPvivid Backup (CVE-2026-1357) en ACF Extended (CVE-2025-13486), plus CVE-2025-32432 in Craft CMS en CVE-2026-48907 in Joomla JCE.
Opvallend: geen van deze lekken is nieuw. Voor allemaal bestaat al een update. De aanvallers rekenen erop dat beheerders het patchen van plugins laten versloffen — en krijgen daarin helaas vaak gelijk. Wie precies achter de campagne zit is onbekend; het ACSC sluit niet uit dat AI wordt ingezet om het misbruik van nieuwe lekken te versnellen.
Een geplaatste webshell is meer dan een verminkte website. Aanvallers gebruiken de toegang om inloggegevens te stelen, spam of malware te verspreiden via jouw domein, en verder het netwerk in te bewegen.
Wat kun je doen
Draai je zelf een website op WordPress, Joomla of een ander CMS — al is het maar een klein bedrijfssitusje — loop dan deze punten na: werk het CMS, thema’s en alle plugins bij naar de nieuwste versie, verwijder plugins die je niet gebruikt, en zet automatische updates aan. Controleer daarnaast de webdirectory’s op onbekende, recent aangemaakte PHP-bestanden — een veelvoorkomend spoor van een webshell. Wie zijn site door een externe partij laat beheren, kan dit bericht gerust doorsturen met de vraag of het patchen op orde is.
Bron: BleepingComputer
Blijf op de hoogte
Volg CybersecurityNieuws.nl via RSS en mis geen enkel beveiligingsnieuws. Zelf iets gezien dat wij moeten weten? Tip de redactie.