Verschlüsselung & Datensicherheit

WordPress-Plug-in Ninja Forms war bedroht

Kritische Sicherheitslücke in dem Plug-in Ninja Forms behoben: WordPress-Admins sollen unverzüglich die Aktualität sicherstellen

Foto: Pixabay / B_A

Entwickler fanden eine nicht näher bezeichnete Sicherheitslücke im WordPress-Plug-in Ninja Forms. Vergangenen Dienstag wurde ein Update veröffentlicht, das die Lücken schließen soll. Eine strengere Parameterüberprüfung bestimmter Eingabeparameter soll Abhilfe schaffen. Das Plug-in gilt als sehr beliebt. Mit mehr als einer Million aktiver Installationen zählt es zu den meist installierten Erweiterungen der Blogsoftware.

Was zunächst harmlos wirkt, ist es keinesfalls. Der auf WordPress spezialisierte Dienstleister Wordfende fand durch Reverse Engineering heraus, dass die Ninja-Forms-Autoren mit ihr eine Sicherheitslücke beheben, die von Angreifern zur Ausführung beliebiger Codes genutzt werden kann. Sicherheitsexperten beschreiben die Lücke in einem Blogbeitrag als Möglichkeit zum Einschleusen eigener Objekte. Angreifer könnten mithilfe der Klassenmethoden von Ninja-Forms und weiterer vorhandener Plug-ins eine „POP Chain“ zusammenstellen und Schadcode ausführen. Nach Einschätzung von Wordfence wurde diese Sicherheitslücke bereits ausgenutzt und mit dem CVSS-Score von 9.8 „kritisch“ bewertet.

WordPress-Administratoren sollen unverzüglich prüfen, ob das Plug-in bereits automatisch auf den neuesten Stand gebracht wurde und gegebenenfalls manuell das Update durchführen. In folgenden Versionen ist der Fehler behoben: 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11.

Quelle: heise online Redaktion

 

Weitere Informationen zum Thema Verschlüsselung und Datensicherheit finden Sie hier.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben