Wie ich eben auf heise.de lese sind mal wieder einige Sicherheitsprobleme mit WordPress – oder besser gesagt mit einigen Plugins für WordPress – aufgetaucht. Betroffen sind die Plugins myFlash, wordTube und wp-Table, die allesamt vom selben Entwickler stammen.

Durch die Sicherheitslücken in diesen Plugins kann ein Angreifer beliebige PHP-Skripte einbinden und mit den Rechten des Webservers ausführen. Der Grund für die Sicherheitslücke ist eine fehlerhafte Verarbeitung des Parameters wppath.

Betroffen sind folgende Versionen:

  • wordTube bis einschließlich 1.4.3
  • wp-Table bis einschließlich 1.4.3
  • myFlash bis einschließlich 1.10.

In den neueren Versionen der Plugins ist der Fehler bereits behoben. Ein Update wird dringend empfohlen. Wahlweise könnte man auch die WordPress-Plugins deinstallieren.

wordpress plugins wp-Table <= 1.43 (inc_dir) Remote File Inclusion Vulnerability
wordpress plugins wordTube <= 1.43 (wpPATH) Remote File Inclusion Vulnerability
Link zu heise