Anzeige
Anzeige
News
Artikel merken

WordPress: 2 gravierende Schwachstellen in beliebtem Plugin aufgedeckt

Während einer internen Prüfung des populären WordPress-Plugins Fastest Cache haben IT-Expert:innen von Jetpack mehrere Sicherheitsprobleme entdeckt. Wer eine ältere Version des Plugins nutzt, sollte schnellstens auf die neueste Version upgraden.

1 Min. Lesezeit
Anzeige
Anzeige

Im WP-Plugin Fastest Cache wurden Schwachstellen entdeckt. (Bild: Shutterstock/ monticello)

WordPress ist eines der erfolgreichsten Content-Management-Systeme, das von kleineren Blogs bis hin zu großen Onlineshops und Verlagen verwendet wird. Rund um das CMS hat sich mit der Zeit ein großes Ökosystem mit zahllosen Plugins entwickelt. Das Fastest-Cache-Plugin dient der Performance-Verbesserung. Es ist eine populäre Lösung, um sogenannte Traffic-Spitzen zu bedienen. Das sogenannte Cache-System erzeugt und speichert eine statische HTML-Datei, die bei hohem Besucher:innenaufkommen einer Website ausgespielt wird.

Unbefugter Datenbankzugriff

Anzeige
Anzeige

Jetzt haben Sicherheitsexpert:innen der Firma Jetpack zwei Lücken darin entdeckt: zum einen eine sogenannte Authenticated-SQL-Injection-Schwachstelle, zum anderen ein Cross-Site-Scripting-Problem. Über die SQL-Injection-Schwachstelle könnten Angreifende Zugriff auf in der Datenbank betroffener Websites gespeicherte sensible Informationen – wie gehashte Passwörter und Benutzernamen – erhalten. Ausgenutzt werden kann die Lücke, wenn ein weiteres Plugin namens Classic-Editor-Plugin ebenfalls auf der Website aktiv ist.

Admin-Zugang

Ein erfolgreicher Exploit der Stored-XSS-Schwachstelle würde Angreifenden Admin-Zugriff auf betroffenen Websites ermöglichen. Das heißt, Angreifer:innen könnten dann Aktionen ausführen, zu der nur angemeldete Administrator:innen eine Berechtigung haben.

Anzeige
Anzeige

Die Sicherheitsexpert:innen haben die Schwachstelle an den Autoren des Plugins gemeldet. In der kürzlich veröffentlichten Version 0.9.5 werden jetzt beide Sicherheitslücken behoben. Nutzer:innen von WP Fastest Cache empfehlen die Expert:innen im zugehörigen Blogpost dringend, auf die neueste Version des Plugins zu aktualisieren. Ergänzend raten sie zur Nutzung einer etablierten Sicherheitslösung. Details über die Schwachstellen sind auf dem Jetpack-Blog näher beschrieben.

Anzeige
Anzeige

Nicht das erste aufgedeckte SQL-Injection-Problem

Die beiden von Jetbrains aufgedeckten Schwachstellen sind offenbar nicht die ersten in dem Projekt gefundenen SQL-Injection-Vulnerabilities. Sowohl in Version 0.8.4.8 und möglicherweise früheren Versionen sowie in Version 0.8.7.4 wurden in der Vergangenheit derartige Schwachstellen entdeckt.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige