Alert!

WordPress-Übernahme durch kritische Lücken in PHP Everywhere

Angreifer hätten durch eine kritische Sicherheitslücke in PHP Everywhere beliebigen Code in WordPress-Instanzen ausführen können. Ein Update steht bereit.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Aufmacher PHP Everywhere/WP Update

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.
Von

Sicherheitslücken im Plug-in PHP Everywhere, das von mehr als 30.000 WordPress-Instanzen installiert wurde, ermöglichen Angreifern das Einschleusen von Schadcode. Sie könnten dadurch die WordPress-Instanz übernehmen. Die Rechte eines normalen Nutzers reichen dazu aus, erläutert das IT-Sicherheitsunternehmen Wordfence. Der Plug-in-Entwickler schließt die Lücken in einer aktualisierten Version.

Insgesamt listen die Forscher in ihrer Sicherheitsmeldung gleich drei Sicherheitslücken auf. Die erste erlaubte allen angemeldeten Nutzern, via Shortcode beliebigen Code einzuschleusen (CVE-2022-24663, CVSS 9.9, Risiko kritisch). Shortcodes sind Funktionen, die WordPress beispielsweise in Tabellen, Bildergalerien und Ähnliches umsetzt. Angreifer hätten mit dem Shortcode php_everywhere beliebiges PHP ausführen lassen und so das WordPress übernehmen können: [php_everywhere]<beliebiges PHP>[/php_everywhere].

Zum Ausnutzen der zweiten Schwachstelle sind hingegen Contributor-Rechte nötig. Damit könnten Angreifer einen Post erstellen, beliebigen PHP-Code in die PHP Everywhere Metabox einfügen und diesen durch das Öffnen der Vorschau zur Ausführung bringen (CVE-2022-24664, CVSS 9.9, kritisch). Die dritte Lücke betrifft den Gutenberg-Block von PHP Everywhere, den Nutzer mit Contributor-Rechten ebenso missbrauchen könnten (CVE-2022-24665, CVSS 9.9, kritisch). Gutenberg heißt der Standard-Editor von WordPress.

Ob die Sicherheitslücken bereits in freier Wildbahn zum Kompromittieren von WordPress-Seiten missbraucht wurden, ist unklar. Wordfence schreibt im Sicherheitshinweis nichts zu schon beobachteten Angriffen.

Die Sicherheitslücken hat der Entwickler des Plug-ins in Version 3.0 von PHP Everywhere behoben. Administratoren sollten die Aktualisierung unverzüglich installieren. Einige Plug-in-Nutzer beobachten nach der Aktualisierung, dass der Shortcode nicht mehr funktioniert und sie nun den Gutenberg-Block nutzen müssen – diese Arbeit sollten Betroffene jedoch auf sich nehmen. Die in den Kommentaren zum Plug-in vorgeschlagene Lösung, einfach das alte Plug-in wieder zu installieren, gefährdet die Webseite massiv und ist daher keine valide Option. Wo das Update nicht möglich ist, empfiehlt Wordfence sogar die vollständige Deinstallation von PHP Everywhere.

Siehe auch:

  • WordPress: Download schnell und sicher von heise.de
Lesen Sie auch

Themenseite zu Wordpress auf heise online

(dmk)