Tijdens een interne audit van WP Fastest Cache ontdekten onderzoekers van Jetpack dat de plugin twee kwetsbaarheden bevatte. Inmiddels is er een update met patches uitgerold. Gebruikers van de WP Fastest Cache plugin krijgen dan ook het dringende advies zo snel mogelijk te updaten.
Over de WP Fastest Cache plugin
WP Fastest Cache is een van de meest gebruikte caching plugins voor WordPress. De plugin past allerlei trucjes en technieken toe, waaronder desktop, mobile en browser caching, het comprimeren en/of samenvoegen van website bestanden, het optimaliseren van afbeeldingen, het opschonen van de database en lazy loading. Dit zorgt ervoor dat websites die de plugin gebruiken aanzienlijk sneller laden, wat niet alleen de gebruikerservaring verbetert maar ook gunstig is voor SEO.
Kwetsbaarheden
De kwetsbaarheden betroffen een Authenticated SQL Injection kwetsbaarheid en een Stored XSS (Cross-Site Scripting) via Cross-Site Request Forgery (CSRF) probleem. Via de SQL Injection kwetsbaarheid kunnen kwaadwillenden mogelijk toegang krijgen tot gevoelige informatie die in de database van de betreffende WordPress website is opgeslagen, zoals gebruikersnamen en hashed wachtwoorden. Dat kan echter alleen als de Klassieke Editor plugin ook op de website is geïnstalleerd. De tweede kwetsbaarheid betreft een lek waarbij een hacker in feite dezelfde acties kan uitvoeren als een ingelogde admin gebruiker, wat tot volledige site overname kan leiden.
Responsible Disclosure
Direct na de ontdekking bracht Jetpack de ontwikkelaar van WP Fastest Cache op de hoogte van de kwetsbaarheden. Deze bracht op 11 oktober een update uit. WP Fastest Cache versie 0.9.5 bevat patches die de kwetsbaarheden verhelpen. Inmiddels zijn we een week verder, maar de update is op het moment van schrijven ‘slechts’ 421.900 keer gedownload. Aangezien de plugin 1 miljoen+ actieve installaties heeft betekent dit dat er nog zeker 578.000 WordPress websites gevaar lopen.
Maak jij ook gebruik van WP Fastest Cache en heb je in de afgelopen 7 dagen nog geen update geïnstalleerd? Dan raden we je aan om dit meteen te doen! Ga op je WordPress dashboard naar Plugins > Geïnstalleerde plugins, zoek WP Fastest Cache en klik op Update. Je kunt ook de meest recente versie downloaden via de WordPress.org plugin pagina.
