Subscribe to our new Tech for Humans newsletter here!

Blog Hub

Er is een kritische beveiligingsfout ontdekt in de WP Fastest Cache-plugin, waardoor er momenteel ongeveer een 600.000 WordPress-websites kwetsbaar zijn. Ondanks de release van een update blijft een aanzienlijk aantal Wordpress sites open aan mogelijke aanvallen.

Stop De Bandieten #26 Kritische kwetsbaarheid in WordPress Fastest Cache Plugin (SQLi)

November 16, 2023•1 min read

Kritische kwetsbaarheid in WordPress Fastest Cache Plugin (SQLi)

Dit is de 26e editie van onze nieuwsbrief.
Vanwege de positieve reacties verzamelen we die ook in onze online blog.
Aarzel niet om dit te delen met collega's en vrienden.
Iedereen kan gratis inschrijven op onze website stopdebandieten.be !
Er is een kritische beveiligingsfout ontdekt in de WP Fastest Cache-plugin, waardoor er momenteel ongeveer een 600.000 WordPress-websites kwetsbaar zijn. Ondanks de release van een update blijft een aanzienlijk aantal Wordpress sites open aan mogelijke aanvallen.
De kwetsbaarheid, aangeduid als CVE-2023-6063, werd gemeld door WPScan. Het stelt aanvallers zonder een login in staat om SQL-injectieaanvallen uit te voeren, wat mogelijk toegang geeft tot volledige WordPress-databases.
Affected Plugin:
Name: WP Fastest Cache
URL: https://wordpress.org/plugins/wp-fastest-cache/
Author: https://www.wpfastestcache.com
Vulnerable Versions: Versions lower than 1.2.2
CVE ID: 2023-6063
WPScan ID: 30a74105-8ade-4198-abe2-1c6f2967443e
Technishe analyse
De vulnerability situeert zich in de is_user_admin-functie van de WpFastestCacheCreateCache-function.
Deze function, wordt uitgevoerd bij het laden van de plugin, haalt de variabele $username op uit cookies die "wordpress_logged_in" in hun naam bevatten. Het probleem ontstaat doordat deze variabele wordt ingevoegd in een databasequery zonder de juiste check, waardoor deze vatbaar is voor SQL-injectie.
De ontwikkelaar heeft een nieuwe versie, 1.2.2, van de plugin uitgebracht, die deze kwetsbaarheid behandeld.
Huidige statistieken van WordPress.org geven echter aan dat slechts ongeveer 400.000 installaties zijn bijgewerkt, waardoor ongeveer 600.000 WP sites nog steeds risico lopen.
Wij raden jullie dan ook aan om indien jullie deze plugin gebruiken, dit onmiddellijk bij te werken naar de nieuwste versie van WP Fastest Cache.
WordPress websites die niet zijn afgeschermd met een web application firewall nemen best contact met ons voor onze Reblaze oplossing.
Moest u hierover verder vragen hebben gelieve ons te contacteren op [email protected].
Vriendelijke groeten,
Het Shift Left Security Team