De WordPress plugin WPGateway heeft een zero day lek. De kwetsbaarheid is CVE-2022-3180 genummerd. Het gaat om een kritiek probleem met potentieel ernstige gevolgen. Alle versies van de plugin zijn in gevaar, tot en met versie 3.5 van dit moment. Een update met oplossing is nog niet beschikbaar.
Met de plugin kan de eigenaar de website installeren, klonen en backuppen. Het is een veel geïnstalleerde plugin. Een essentieel onderdeel van de plugin bleek vatbaar voor aanvallen.
De kwetsbaarheid wordt actief uitgebuit door criminelen. Hierdoor kunnen criminelen eigen accounts omzetten naar administrator/beheerder accounts. Zonder oplossing is elke WordPress website met deze plugin een makkelijk doelwit. Er zijn al meer dan honderdduizend websites getroffen.
Het is niet bekend wanneer het lek gedicht wordt door middel van een update van de ontwikkelaar. Tot die tijd is het aan te raden de plugin niet alleen uit te schakelen, maar zelfs helemaal te verwijderen.