Die Sicherheitsforscher der WordPress Erweiterung Wordfence weisen darauf hin, dass die überaus beliebte WordPress Gallery Erweiterung NextGen mit über 800.000 Installationen zwei Schwachstellen mit kritischem Schweregrad, die zu Remote Code Execution (RCE) und Stored Cross-Site Scripting (XSS) führen kann hat. Es wird Nutzern des Plugins dringendst empfohlen die Gallery auf die neueste Version zu aktualisieren. Nutzer der neuesten WordPress Version sei von uns empfhohlen, möglichst alle installierten Erweiterungen der „automatischen Aktualisierung“ Routine des Content Management Systems zuzuweisen.
Nicht nur jetzt bei der NextGen Gallery, wo Angreifer mittels Sicherheitslücken Schadcode in die Webseite einschleusen können auch bei vielen anderen Erweiterungen ist die Gefahr eines Hacks immens. WordPress ist das am meisten genutzte Content Management System der Welt, vor allem aufgrund seiner sehr einfach Bedienung und des Plug & Play Erstellen von Webseiten. Dies ist aber auch eine Gefahr.
Im Falle von NextGen Gallery haben sich die Sicherheitsforscher Mitte Dezember mit den Entwicklern der Gallery von Imagely in Verbindung gesetzt, die umgehend einen Patch entwickelt und Wordfence zur Überprüfung geschickt haben. Mitte Januar wurde die gepatchte Version 3.5.0 veröffentlicht auf die nun alle Nutzer zügig aktualsieren sollten.
Genaue Infos zur Sicherheitslücke auf der Seite von Wordfence: externer Link