Sicherheitsupdate: WordPress-Websites mit Plug-in Ninja Forms attackierbar
(Bild: serato/shutterstock.com)
Angreifer könnten über eine Sicherheitslücke im Ninja-Forms-Plug-in auf eigentlich geschützte WordPress-Daten zugreifen.
Drei Schwachstellen gefährden WordPress-Websites mit dem Plug-in Ninja Forms. Eine gegen mögliche Attacken abgesicherte Version steht zum Download bereit.
Mit dem Plug-in können Admins von WordPress-Seiten Formulare für Besucher der Website anlegen. Derzeit weist es über 800.000 aktive Installationen auf. In einem Beitrag warnen Sicherheitsforscher von Patchstack vor drei Sicherheitslücken [1].
Die Sicherheitslücken
Setzen Angreifer erfolgreich an einer Schwachstelle (CVE-2023-37979 "hoch") an, können sie über eine XSS-Attacke auf eigentlich abgeschottete Informationen zugreifen. Aufgrund von unzureichenden Überprüfungen können Angreifer Website-Anfragen manipulieren, um eine Payload mit Schadcode zu platzieren. Die XSS-Lücke ist nicht persistent.
Aufgrund einer kaputten Zugangskontrolle können Unbefugte auf Formularübermittlungen zugreifen. Der Bedrohungsgrad der beiden Lücken (CVE-2023-38393, CVE-2023-38386) wurde offensichtlich bislang nicht eingestuft.
Der Patch
Die Entwickler geben an, die Sicherheitsprobleme in der Ausgabe 3.6.26 gelöst zu haben.
(des [2])
URL dieses Artikels:
https://www.heise.de/-9230884
Links in diesem Artikel:
[1] https://patchstack.com/articles/multiple-high-severity-vulnerabilities-in-ninja-forms-plugin/
[2] mailto:des@heise.de
Copyright © 2023 Heise Medien