Blog W3 Total Cache mit XSS-Sicherheitslücke

W3 Total Cache mit XSS-Sicherheitslücke

(Mit Update, siehe unten)

W3 Total Cache (mit mehr als 1 Million Installationen) hat eine schwerwiegende XSS-Sicherheitslücke. Noch schwerwiegender ist, dass der Autor zur Zeit das Plugin nicht pflegt, weswegen es kein Update und damit auch keinen Fix für die Lücke gibt.
Ich kann aus diesem Anlass nur dringend davon abraten, das Plugin weiterhin einzusetzen.

Es gibt diverse Alternativen (WP Rocket, W3 Super Cache, Cachify) mit jeweils unterschiedlichem Funktionsumfang.

Wer kurzfristig nicht auf das Plugin verzichten kann, kann die Lücke selbst abdichten. Auf Dauer ist das aber keine Lösung:
https://fixmywp.com/…/secure-w3-total-cache-cross-site-scri…

Weiterer Lesestoff dazu:
https://yoast.com/w3-total-cache/
https://www.savvii.de/blog/w3totalcache-xss-unsicher/

Es gibt auf GitHub auch ein Projekt, welches W3TC weiterführt und auch schon einen Fix für die Lücke integriert hat. Dieser „Fork“ hat auch bereits PHP7-Unterstützung integriert. Da das Plugin aber nur über GitHub zu beziehen ist, sicherlich auch keine Alternative für jedermann: https://github.com/szepeviktor/fix-w3tc/

Update 26.09.2016:
Auf wordpress.org gibt es ein Update auf Version 0.9.5 von W3 Total Cache, dass neben der Sicherheitslücke auch viele weitere Fehler behebt und sogar neue Funktionen enthält. Nach ersten Kommentaren im Netz scheint die Version zu funktionieren.

Schreibe einen Kommentar