Das Unternehmen Jetpack, Anbieter eines Toolkits für WordPress, hat bei internen Audits zwei kritische Sicherheitslücken im WordPress-Plugin WP Fastest Cache gefunden. Eine Update des Plugins behebt die Fehler.
Wie Jetpack berichtet, stecken im Plugin für das Content Management System Worpress eine SQL-Injection-Lücke und eine, die Cross-Site-Scripting erlaubt. Die beiden Sicherheitslücken stecken in allen Versionen von WP Fastest Cache vor dem Update auf 0.9.5.
Mit WP Fastest Cache lässt sich die Ladezeit einer Webseite durch Cache Management optimieren. Das Plugin ist beliebt und kommt laut WordPress-Statistik aufüber eine Million Installationen.
Über den SQL-Injection-Bug können sich Angreifer Zugriff auf Informationen aus der Datenbank der betroffenen Website verschaffen und so etwa Benutzernamen und gehashte Passwörter auslesen. Abmildernd kommt hinzu, dass sich die Lücke nur ausnutzen lässt, wenn das Classic-Editor-Plugin ebenfalls auf der Website installiert und aktiviert ist, schreibt Jetpack in der Beschreibung der Fehler.
Bei der kombinierten Wenn die CSRF- und Stored XSS-Schwachstelle können Angreifer alle Aktion ausführen, die auch der angemeldete Administrator ausführen darf. Ein Update des Plugins ist also angeraten.
