Sicherheitsupdate: WordPress-Websites mit Plug-in Ninja Forms attackierbar
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
31.07.2023 13:52 Uhr Dennis Schirrmacher(Bild: serato/shutterstock.com)
Angreifer könnten über eine Sicherheitslücke im Ninja-Forms-Plug-in auf eigentlich geschützte WordPress-Daten zugreifen.
Drei Schwachstellen gefährden WordPress-Websites mit dem Plug-in Ninja Forms. Eine gegen mögliche Attacken abgesicherte Version steht zum Download bereit.
Mit dem Plug-in können Admins von WordPress-Seiten Formulare für Besucher der Website anlegen. Derzeit weist es über 800.000 aktive Installationen auf.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Die Sicherheitslücken
Setzen Angreifer erfolgreich an einer Schwachstelle (CVE-2023-37979 "hoch") an, können sie über eine XSS-Attacke auf eigentlich abgeschottete Informationen zugreifen. Aufgrund von unzureichenden Überprüfungen können Angreifer Website-Anfragen manipulieren, um eine Payload mit Schadcode zu platzieren. Die XSS-Lücke ist nicht persistent.Aufgrund einer kaputten Zugangskontrolle können Unbefugte auf Formularübermittlungen zugreifen. Der Bedrohungsgrad der beiden Lücken (CVE-2023-38393, CVE-2023-38386) wurde offensichtlich bislang nicht eingestuft.
Der Patch
Die Entwickler geben an, die Sicherheitsprobleme in der Ausgabe 3.6.26 gelöst zu haben.(des [2])
URL dieses Artikels:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!