Kwetsbaarheden in WordPress-plugin WP Fastest Cache

De plugin WP Fastest Cache zorgt ervoor dat WordPress-sites sneller laden. Het is een populaire plugin met meer dan één miljoen downloads.

Jetpack licht toe in een blogartikel op hun website welke kwetsbaarheden zijn gevonden. Het gaat daarbij om twee kwetsbaarheden in de plug-in. Het ene heeft betrekking op een SQL-injectie en de tweede kwetsbaarheid betreft stored cross-site scripting (XSS) en cross-site request forgery (CSRF).

De eerste kwetsbaarheid met de SQL-injectie doet zich in het bijzonder voor wanneer de classic-editor plugin gebruikt wordt op de website. Deze bug geeft de aanvallers toegang tot de database waar dan gebruikersnamen en wachtwoorden kunnen worden gestolen.

De tweede kwetsbaarheid betreft stored cross-site scripting en cross-site request forgery. Dit betreft een beveiligingslek waardoor een aanvaller dezelfde acties als een ingelogde beheerder kan uitvoeren en zo volledige controle over de website krijgen.

Het issue is ondertussen verholpen in WP Fastest Cache versie 0.9.5. Het is niet de eerste keer dat we melding deden van kwetsbaarheden in WordPress. Mocht je meer willen weten over deze kwetsbaarheden in WordPress, neem dan contact met ons op.