Das Content Management System WordPress ist über Sicherheitslücken im Plugin PHP Everywhere angreifbar. Die Lücke im Plugin können Angreifer zur Übernahme von WordPress nutzen, teilen die Entdecker mit. Es gibt einen Patch für PHP Everywhere.
Entdeckt hat die Lücken im Plugin das Wordfence Threat Intelligence-Team. PHP Everywhere sei auf über 30.000 Websites installiert, berichten die Sicherheitsexperten. Eine dieser Schwachstellen ermöglichte es durch Einschleusen von Code, jedem authentifizierten Benutzer, egal mit welchen Berechtigungen, Code auf einer Website auszuführen, auf der das Plugin installiert ist, so die Experten von Wordfence. Nachdem sie den Autor des Plugins kontaktiert hätten, habe dieser innerhalb weniger Stunden reagiert. Inzwischen sei eine weitgehend überarbeitete Version des Plugins vorhanden.
Admins, die das Plugin nutzen sollten unbedingt die aktuelleste Version einspielen. Das sei derzeit 3.0.0. Dabei sei aber zu beachten, dass Version 3.0.0 nur PHP-Snippets über den Block-Editor unterstütze. Wer den klassischen Editor verwende, müssen das Plugin deinstallieren und eine andere Lösung finden. In der Ankündigung der Lücken sind weitere Details und die Links zu den einzelnen Sicherheitsproblemen zu finden.





