Sicherheitslücke bei WordPress-Plugin: WP Super Cache

Sicherheitslücke WP Super Cache
NinaVon Nina|19. Mai 2021

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Aktuell wurde eine Sicherheitslücke bei dem weit verbreiteten WordPress Plugin WP Super Cache veröffentlicht. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: WP Super Cache

Beim Caching werden einmal erzeugte Seiten zwischengespeichert, sodass die Daten aus der Datenbank nicht zuerst gelesen werden müssen. Das Plugin WP Super Cache erzeugt statische HTML-Dateien aus einem dynamischen WordPress-Blog. Nachdem eine HTML-Datei generiert wurde, wird der Webserver diese Datei ausliefern, anstatt die vergleichsweise schwereren WordPress PHP-Skripte zu verarbeiten. Das sorgt für schnellere Ladezeiten und bei einem Besucheransturm bleibt die Website stabil. Laut WordPress.org zählt das Plugin aktuell über 2.000.000 aktive Nutzer.

 


Veröffentlicht am 14.05.2021:

Sicherheitslücke: Authenticated Remote Code Execution

Die in den Plugin-Einstellungen verwendeten Parameter $cache_path, $wp_cache_debug_ip, $wp_super_cache_front_page_text, $cache_scheduled_time, $cached_direct_pages führen zu RCE, da sie die Eingabe von «$» und «\n» erlauben. Dies ist auf einen unvollständigen Fix von CVE-2021-24 209 zurückzuführen.

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (1.7.3) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/2142c3d3-9a7f-4e3c-8776-d469a355d62f

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


Veröffentlicht am 16.03.2021:

Sicherheitslücke: Authenticated RCE

Das Plugin wurde von einem authentifizierten (admin+) RCE auf der Einstellungsseite betroffen, da die Eingabevalidierung fehlgeschlagen ist und die $cache_path-Prüfung in den WP Super Cache Settings -> Cache Location nicht korrekt überprüft wurde. Der direkte Zugriff auf die Datei wp-cache-config. php ist nicht untersagt, sodass diese Sicherheitslücke für eine Web-Shell-Injektion ausgenutzt werden kann.

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (1.7.2) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/733d8a02-0d44-4b78-bbb2-37e447acd2f3

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

Dein WordPress ist dir wichtig?

Dann brauchst du einen Hosting-Anbieter, dem du vertrauen kannst

Wir unterstützen dich von Anfang an! Unser Serviceteam löst Probleme und beantwortet Fragen rund um dein WordPress, damit du dich auf dein Geschäft konzentrieren kannst. Wir hören erst auf, wenn du zufrieden bist.

Wir sind für dich da bei
Malware-Befall TV-Kampagnen Lasttests Performance-Tests technischen Fragen

Dein WordPress ist dir wichtig?

Dann brauchst du einen Hosting-Anbieter, dem du vertrauen kannst

Wir unterstützen dich von Anfang an! Unser Serviceteam löst Probleme und beantwortet Fragen rund um dein WordPress, damit du dich auf dein Geschäft konzentrieren kannst. Wir hören erst auf, wenn du zufrieden bist.

Chatte mit uns

Wir sind für dich da bei
Malware-Befall TV-Kampagnen Lasttests Performance-Tests technischen Fragen

Mo – Fr, 8 – 17 Uhr

Termin vereinbaren

Mo – Fr, 8 – 17 Uhr

Antworten & Anleitungen


Bekannt aus: