Sicherheitsexperten von Wordfence
warnen vor Lecks in PHP Everywhere. Dabei handelt es sich um ein Wordpress-Plug-in, das auf über 30'000 Wordpress-Websites installiert sein soll und das es erlaubt, PHP überall auf einer Wordpress-Site auszuführen. Insgesamt wurden drei Lücken gefunden. Wie zu lesen ist, erlaubt es eine davon, dass ein Nutzer ohne besondere Rechte beliebigen Code auf der Instanz ausführen und die Site so übernehmen kann.
Wordfence schreibt, dass die Lücke am 4. Januar 2022 gemeldet wurde, und dass der Autor des Plug-ins die Lücke rasch geschlossen habe. Seit dem 10. Januar stehe eine überarbeitete Version des Plug-ins bereit. Site-Bertreiber, die PHP Everywhere nutzen, sollen umgehend auf die neueste Version des Plug-ins updaten, das die Versionsnummer 3.0.0 trägt.
Wie Wordfence weiter schreibt, unterstützt der neueste Release nur PHP-Snippets über den Block-Editor. Wer also den Classic Editor nutzt, müsse das Plug-in deinstallieren und eine andere Lösung suchen. Unter keinen Umständen sollte man weiter mit einer alten Version von PHP Everywhere arbeiten.
(mw)
