Durch eine kritische Sicherheitslücke in dem Plugin PHP Everywhere hätten Angreifer beliebigen Code in WordPress-Instanzen ausführen können. Ein Update des Plugins steht zum Update bereit.

Sicherheitslücken im Plug-in PHP Everywhere, das auf über 30.000 WordPress-Seiten installiert wurde, erlauben Angreifern das Einschleusen von Schadcode. Sie könnten dadurch die WordPress-Seiten übernehmen. Dazu reichen die Rechte eines normalen Nutzers aus, bestätigt das IT-Sicherheitsunternehmen Wordfence. Die Plug-in-Entwickler haben die Lücken jetzt mit einer aktualisierten Version geschlossen.

Es gab mehrere Sicherheitslücken in dem Plugin

Insgesamt listen die Forscher in der Sicherheitsmeldung dazu sogar drei Sicherheitslücken auf. Die erste machte es allen angemeldeten Nutzern möglich, über Shortcodes beliebigen Code einzuschleusen (CVE-2022-24663, CVSS 9.9, Risiko kritisch).

Diese Shortcodes sind Funktionen, die WordPress zum Beispiel in Tabellen oder Bildergalerien anbietet. So hätten Angreifer zum Beispiel mit dem Shortcode „php_everywhere“ beliebiges PHP ausführen lassen und damit die WordPress-Installation übernehmen können: „php_everywhere]<beliebiges PHP>[/php_everywhere“.

Für das Ausnutzen der zweiten Schwachstelle waren allerdings Contributor-Rechte nötig. Damit konnten Angreifer einen Post erstellen, beliebigen PHP-Code in die PHP Everywhere Metabox einfügen und den Code dann durch das Öffnen der Vorschau ausführen lassen köännen (CVE-2022-24664, CVSS 9.9, kritisch).

Die dritte Sicherheitslücke steckt in PHP Everywheres  Block des Standard-Editors von PHP Gutenberg, den Nutzer mit Contributor-Rechten genauso missbrauchen könnten (CVE-2022-24665, CVSS 9.9, kritisch).

Das Update sollte zügig installiert werden

Es ist noch nicht klar, ob die Sicherheitslücken schon in freier Wildbahn zum Kompromittieren von WordPress-Seiten missbraucht wurden – Wordfence schreibt in seinem Sicherheitshinweis nichts über schon beobachtete Angriffe. Trotzdem sollten Administratoren die Aktualisierung möglichst umgehend installieren.

Allerdings mussten einige Plug-in-Nutzer nach der Aktualisierung feststellen, dass der Shortcode nicht mehr funktionierte und dass sie jetzt den Gutenberg-Block dafürnutzen müssen. Das ist aber allemal besser, als die Sicherheitslücke offen zu lassen.

Die in einigen Kommentaren zu dem Plug-in vorgeschlagene Lösung, einfach das alte Plug-in wieder zu installieren, gefährdet die Webseite stark und sei daher keine akzeptable Option.

Wenn das Update nicht möglich sein sollte, empfiehlt Wordfence sogar die komplette Deinstallation von PHP Everywhere.