Sicherheitslücke im WordPress Plugin „WP Fastest Cache”

Betroffene Plugins: WP Fastest Cache/ Classic Editor

Das Jetpack Scan-Team veröffentlichte einen kürzlich entdeckte sicherheitsrelevante Schwachstelle im beliebten Plugin “WP Fastest Cache”, die im Zusammenspiel mit dem Plugin “Classic Editor” auftritt. Die folgenden Informationen sollen dazu dienen, schnellstmöglich einen Hinweis auf die Problematik zu geben und einen Anlaufpunkt für Hilfesuchende zu gewährleisten.

SQL-Injection mit XSS und CSFR

Am 14. Oktober veröffentlichte das Jetpack Scan-Team einen kürzlich entdeckten SQL-Injection-Bug. Wenn dieser Bug ausgenutzt wird, kann dieser Angreifern-Zugriff auf pikante Informationen aus der Datenbank geben, wie beispielsweise Benutzernamen und verschlüsselte Passwörter. Voraussetzung für das Ausnutzen der Schwachstelle ist die Verwendung des Classic Editor Plugins im Backend (installiert und aktiviert).

Wenn nun mittels CSRF (Cross-Site-Request-Forgery) und gespeichertes (persistentes) Cross-Site-Scripting (XSS) die WP-Webanwendung infiltriert wurde, ist es dem Angreifer möglich, jede Aktion des Administrators auszuführen, auf den der Angriff abgezielt hatte.

Mehr als eine Million WP-Seiten nutzen das WP Fastest Cache Plugin.
Falls wir bereits regelmäßig Updates deiner WordPress-Instanzen vornehmen, sind diese bereits sicher.

Bei Fragen kontaktiert einfach unsere Experten, wir unterstützen euch sehr gerne dabei, die konkrete Sicherheitslücke zu prüfen und eure WordPress-Installation dauerhaft auf dem neuesten Stand zu halten.