Was zunächst harmlos wirkt, ist es keinesfalls. Der auf WordPress spezialisierte Dienstleister Wordfende fand durch Reverse Engineering heraus, dass die Ninja-Forms-Autoren mit ihr eine Sicherheitslücke beheben, die von Angreifern zur Ausführung beliebiger Codes genutzt werden kann. Sicherheitsexperten beschreiben die Lücke in einem Blogbeitrag als Möglichkeit zum Einschleusen eigener Objekte. Angreifer könnten mithilfe der Klassenmethoden von Ninja-Forms und weiterer vorhandener Plug-ins eine „POP Chain“ zusammenstellen und Schadcode ausführen. Nach Einschätzung von Wordfence wurde diese Sicherheitslücke bereits ausgenutzt und mit dem CVSS-Score von 9.8 „kritisch“ bewertet.
WordPress-Administratoren sollen unverzüglich prüfen, ob das Plug-in bereits automatisch auf den neuesten Stand gebracht wurde und gegebenenfalls manuell das Update durchführen. In folgenden Versionen ist der Fehler behoben: 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Verschlüsselung und Datensicherheit finden Sie hier.