Kurze Information für WordPress-Betreiber, die der Plugin-Mania anheimgefallen sind. Falls ihr das Plugin Code Snippets verwendet, solltet ihr dringend sicherstellen, dass die Version 2.14.0 installiert ist.
Dieses Open-Source-Plugin ermöglicht es den Benutzern, PHP-Codeschnipsel auf ihren WordPress-Sites auszuführen, und es bietet auch eine „grafische Schnittstelle, ähnlich dem Plugin-Menü, zur Verwaltung von Codeschnipseln“. Im WordPress-Repository ist Code Snippets mit mehr als 200.000 Installationen aufgeführt.
Das WordFence-Sicherheitsteam hat im Plugin aber die kritische Schwachstelle CVE-2020-8417 entdeckt. Es handelt sich um einen cross-site request forgery (CSRF) Bug, der eine Übernahme der WordPress-Installation ermöglicht. Diese CSRF-Schwachstelle erlaubte es Angreifern, Anfragen im Namen eines Administrators zu fälschen und Code auf einer verwundbaren Seite einzufügen. Potentielle Angreifer können daher beliebigen Code remote auf Webseiten ausführen, falls die angreifbare Version des Code-Snippets Plugin installiert ist.
Am 25. Januar 2020, 2 Tage nach Meldung der Schwachstelle, wurde die Version 2.14.0 des Plugins mit einem Bug-Fix veröffentlicht. Damit ist die WordPress-Seite nicht mehr über die Schwachstelle angreifbar. Weitere Details lest ihr bei Bedarf bei Bleeping Computer nach. Abschließender Ratschlag: Überlegt euch, welche Plugins ihr im WordPress-Blog wirklich braucht und stellt dann sicher, dass diese auch immer aktualisiert werden.
