Sicherheitsforscher von WPScan sind auf eine Sicherheitslücke (CVE-2023-6063 “hoch“) gestoßen, welche die “is_user_admin”-Funktion der “WpFastestCacheCrateCache” – Klasse betrifft. Diese Funktion überprüft über den “$username” – Wert in Cookies, ob ein Nutzer der Admin ist. Angreifer können aber diese Cookies manipulieren und SQL-Abfragen verändern, da “$username” – Eingaben nicht genügend überprüft werden. Dies führt zu unbefugten Zugriffen auf die Word-Press-Datenbank, welche auch Passwörter enthält. Die neue Version WP Fastest Cache 1.2.2 schließt diese Schwachstelle.
Wie ein Angriff auf diese Schwachstelle konkret aussieht und welche Voraussetzungen dafür notwendig sind, ist nicht bekannt. Forscher wollen jedoch bis Ende November 2023 ein Proof-of-Concept Code veröffentlichen. Zurzeit sind keine laufenden Angriffe bekannt.
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998