Wordpress: Gefährliche Lücken in Cache-Plug-Ins

Zwei millionenfach genutzte Wordpress-Plug-Ins können für das Ausführen beliebigen Codes ausgenutzt werden. Die Lücken sind gestopft, jetzt muss gepatcht werden!

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Lesezeit: 1 Min.

In den Wordpress-Plug-Ins WP Super Cache und W3 Total Cache sind gefährliche Lücken aufgetaucht, die so schnell wie möglich mit Updates geschlossen werden sollten. Durch die Schwachstellen können Angreifer beliebigen Code auf den Servern ausführen. Die gepatchten Versionen tragen die Versionsnummern 1.3.1 für WP Super Cache und 0.9.2.9 für W3 Total Cache.

In früheren Versionen ist eine PHP Code Injection über die Kommentarfunktion möglich. Mit dem Update können etwa bei W3TC nur noch Administratoren PHP-Code einfügen, müssen aber einen geheimen Key eintragen, damit dieser auch ausgeführt wird.

Die beiden Cache-Plug-Ins wurden bisher von rund sechs Millionen Nutzern heruntergeladen. Sie sollen für weniger Serverlast sorgen, indem PHP-Anwendungen als HTML-Seiten gecached werden. (kbe)