Tijdens een interne audit van de plugin WP Fastest Cache door Jetpack zijn kwetsbaarheden ontdekt:
Een Authenticated SQL Injection- kwetsbaarheid en een Stored XSS ( Cross-Site Scripting ) via Cross-Site Request Forgery (CSRF).
Bij misbruik kan de SQL Injection kwetsbaarheid aanvallers toegang geven tot gevoelige informatie uit de database van de getroffen website, zoals gebruikersnamen en gehashte wachtwoorden. Deze kwetsbaarheid kan alleen worden misbruikt als de plugin Classic Editor ook op de WordPress site is geïnstalleerd en geactiveerd.
Het succesvol misbruiken van de CSRF & Stored XSS-kwetsbaarheid maakt het kwaadwillenden mogelijk om elke actie uit te voeren die de ingelogde beheerder die ze hebben aangevallen mag doen op de aangevallen website.
De kwetsbaarheden zijn verholpen in de op 11 oktober 2021 uitgebrachte versie 0.9.5 van plugin WP Fastest Cache. De plugin is op meer dan 1 miljoen websites actief. Op moment van schrijven hebben zo’n 350.000 gebruikers de nieuwe versie gedownload. De resterende 650.000 websites, voor zover die ook gebruikmaken van de Classic Editor plugin, zijn nog kwetsbaar.
Draai je de plugin nog op versie 0.9.4 of lager? Update dan zo snel mogelijk!