PHP Everywhere: Kritische Lücke ermöglicht WordPress-Übernahme

Eine schwerwiegende Sicherheitslücke in der WordPress-Erweiterung PHP Everywhere gibt Angreifern die Möglichkeit, fremde Webseiten vollständig zu übernehmen. Inzwischen wurde eine Aktualisierung bereitgestellt, die von Administratoren schnellstmöglich installiert werden sollte.
Sicherheit, Internet, Sicherheitslücke, Hacker, Security, Angriff, Hack, Privatsphäre, Kriminalität, Virus, Verschlüsselung, Cybersecurity, Hacking, Internetkriminalität, Kryptographie, Hacker Angriffe, Ransom, Schlüssel, schloss, Ende-zu-Ende-Verschlüsselung, Verschlüsselungssoftware, Kryptografie, Lock
Sicherheitsforscher von Wordfence haben herausgefunden, dass PHP Everywhere über drei gefährliche Schwachstellen verfügt. Eine CVE-2022-24663 genannte Lücke erlaubt es allen angemeldeten Nutzern, per Shortcode beliebigen Code einzuschleusen. Hacker müssen also nur ein normales Account anlegen und keine Admin-Rechte besitzen. Die zwei Schwachstellen CVE-2022-24664 und CVE-2022-24665 geben Nutzern mit Contributor-Rechten die Option, ihren PHP-Code in die Metabox und den Gutenberg-Editor einzufügen und auszuführen. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Schwachstellen wurden schnell behoben

PHP Everywhere wird von mehr als 30.000 WordPress-Instanzen verwendet und fügt PHP-Support zu Bereichen der Webseite hinzu, in denen normalerweise kein PHP-Code verwendet werden kann. Mit der Erweiterung können Administratoren PHP-Code in Beiträgen, auf Unterseiten, in der Seitenleiste sowie generell an allen Stellen, an denen ein Gutenberg-Textblock platziert werden kann, nutzen. Der Entwickler des Plugins hat innerhalb weniger Stunden auf den Fund der Sicherheitslücken reagiert und einen Patch zur Verfügung gestellt.

Die kritischen Schwachstellen wurden mit der Version 3.0 behoben. Wer PHP Everywhere in Verbindung mit seiner WordPress-Installation nutzt, sollte den neuesten Build schnellstmöglich herunterladen. Wenn das Update nicht durchgeführt werden kann, sollte das Plugin ganz entfernt werden. Obwohl manche Nutzer berichten, dass einige Features nach der Aktualisierung nicht mehr wie gewohnt funktionieren, sollten die Administratoren auf keinen Fall zur vorherigen Version zurückkehren, um die Sicherheit ihrer Seite nicht aufs Spiel zu setzen.

Download WordPress - Kostenlose Blogging-Software Siehe auch:


Jetzt als Amazon Blitzangebot
Ab 05:59 Uhr 240W USB C Ladegerät, 8 Port USB C netzteil, GaN Ladegerät GaN III Netzteil USB C faltbares PD Ladegerät kompatibel mit MacBook Pro/Air, iPad, Galaxy, iPhone15/14/13 Kamera240W USB C Ladegerät, 8 Port USB C netzteil, GaN Ladegerät GaN III Netzteil USB C faltbares PD Ladegerät kompatibel mit MacBook Pro/Air, iPad, Galaxy, iPhone15/14/13 Kamera
Original Amazon-Preis
79,98
Im Preisvergleich ab
79,99
Blitzangebot-Preis
67,98
Ersparnis zu Amazon 15% oder 12
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!