Sicherheitsupdate: WordPress-Websites mit Plug-in Ninja Forms attackierbar
Alert! 31.07.2023 13:52 Uhr Dennis Schirrmacher
Du musst angemeldet sein, um Bilder zu sehen.
(Bild: serato/shutterstock.com)
Angreifer könnten über eine Sicherheitslücke im Ninja-Forms-Plug-in auf eigentlich geschützte WordPress-Daten zugreifen.
Drei Schwachstellen gefährden WordPress-Websites mit dem Plug-in Ninja Forms. Eine gegen mögliche Attacken abgesicherte Version steht zum Download bereit.
Mit dem Plug-in können Admins von WordPress-Seiten Formulare für Besucher der Website anlegen. Derzeit weist es über 800.000 aktive Installationen auf. In einem Beitrag warnen Sicherheitsforscher von Patchstack vor drei Sicherheitslücken [1].
Die Sicherheitslücken
Setzen Angreifer erfolgreich an einer Schwachstelle (CVE-2023-37979 "hoch") an, können sie über eine XSS-Attacke auf eigentlich abgeschottete Informationen zugreifen. Aufgrund von unzureichenden Überprüfungen können Angreifer Website-Anfragen manipulieren, um eine Payload mit Schadcode zu platzieren. Die XSS-Lücke ist nicht persistent.Aufgrund einer kaputten Zugangskontrolle können Unbefugte auf Formularübermittlungen zugreifen. Der Bedrohungsgrad der beiden Lücken (CVE-2023-38393, CVE-2023-38386) wurde offensichtlich bislang nicht eingestuft.
Der Patch
Die Entwickler geben an, die Sicherheitsprobleme in der Ausgabe 3.6.26 gelöst zu haben.(des [2])
URL dieses Artikels:
Sicherheitsupdate: WordPress-Websites mit Plug-in Ninja Forms attackierbar
Angreifer könnten über eine Sicherheitslücke im Ninja-Forms-Plug-in auf eigentlich geschützte WordPress-Daten zugreifen.
