Die Sicherheitsforscher von Defiant, dem Unternehmen hinter der Sicherheitslösung Wordfence, haben die technischen Details der Schwachstelle analysiert. Das Problem liegt in einer fehlenden Datei-Typ-Validierung in der Funktion ‘fetch_gravatar_from_remote’. Diese Funktion ist Teil der optionalen Erweiterung “Host Files Locally - Gravatars”, die es Administratoren ermöglicht, Profilbilder lokal zu speichern anstatt sie von extern nachzuladen.
Die gute Nachricht: Diese Erweiterung ist standardmäßig deaktiviert. Dennoch sind zahlreiche Websites betroffen, die diese Funktion aktiviert haben, um ihre Performance zu optimieren. Angreifer können die fehlende Validierung ausnutzen, um beliebige Dateien — einschließlich gefährlicher PHP-Skripte — hochzuladen und so Remote Code Execution (RCE) zu ermöglichen.
Betroffen sind alle Versionen des Breeze Cache Plugins bis einschließlich 2.4.4. Cloudways hat die Schwachstelle in Version 2.4.5 bereits geschlossen, die Anfang dieser Woche veröffentlicht wurde. Dennoch zeigen die 170 dokumentierten Exploitierungsversuche, dass Angreifer bereits aktiv von der Lücke Gebrauch machen.
Laut den Download-Statistiken der WordPress.org-Plattform wurden etwa 138.000 Downloads der neuesten Version registriert. Dies lässt vermuten, dass sich eine erhebliche Zahl von Websites noch immer in einer verwundbaren Konfiguration befindet. Genaue Zahlen sind schwer zu ermitteln, da keine vollständige Statistik über die Aktivierung der anfälligen Erweiterung vorliegt.
Für Website-Administratoren gibt es klare Handlungsoptionen: Das Sicherheitsunternehmen Defiant empfiehlt dringend, das Plugin so schnell wie möglich auf Version 2.4.5 oder höher zu aktualisieren. Falls eine unmittelbare Aktualisierung nicht möglich ist, sollten Administratoren mindestens die Funktion “Host Files Locally - Gravatars” deaktivieren, um die Website vor Angriffen zu schützen. Angesichts der aktiven Ausnutzung ist schnelles Handeln erforderlich.