Keine fünf Tage nach Veröffentlichung meines ersten Blogposts ist es nun so weit:
Ich kann aus aktuellem Anlass mich zu PHP auslassen; denn:

WordPress-Übernahme durch kritische Lücken in PHP Everywhere –
Angreifer hätten durch eine kritische Sicherheitslücke in PHP Everywhere beliebigen Code in WordPress-Instanzen ausführen können. Ein Update steht bereit.

https://www.heise.de/news/WordPress-Uebernahme-durch-kritische-Luecken-in-PHP-Everywhere-6369318.html

Wie heise berichtet wurde in einem verbeiteten WordPress Plugin eine Sicherheitslücke der Schwere 9,9/10 gefunden. Das ist nur minimal vom kürzlichen log4j Supergau entfernt.

Das Plugin erlaubt es an beliebigen Stellen innerhalb von WordPress (daher auch der Name) PHP-Code auszuführen. Ja, was soll schon schief gehen? Ganz einfach: Mehrere Klassen von Angriffen auf Software basiert genau darauf. SQL Injections und Remote Code Execution (RCE). Bei SQL Injections wird eine SQL Anfrage durch Eingaben des Angreifers so manipuliert, dass er weitere Befehle einschleusen und etwa alle in der Datenbank vorhandenen Daten löschen kann. RCE – wozu auch die log4j Sicherheitslücke gehört – bedeutet allgemein, dass fremder Code aus der Ferne ausgeführt wird.

Im konkreten Fall erlaubte das Plugin beliebigen Nutzern – in bestimmten Fällen einer Kombination mit anderen Plugins sogar nicht eingeloggten Angreifern – die Ausführung von beliebigem PHP Code.

Mir ist noch nicht ganz klar wozu man das Plugin sinnvollerweise einsetzen würde. In jedem Fall: Man sollte es nicht tun. In meiner Lieblingsprogrammiersprache python gibt es mit eval eine ähnliche Funktion von deren Nutzung zurecht dringendst abgeraten wird.

Genauso wenig wie man mit unverschossener Haustür verreisen sollte, sollte man die Ausführung von beliebigem – im schlimmsten Fall von einem boshaften Angreifer – Code erlauben.

Update:
Heute meldet heise eine weitere kritische Sicherheitslücke in einem WordPress Plugin; WP Statistics ist ungepatcht von einer SQL Injection betroffen.