Sicherheitsupdate: WordPress-Websites mit Plug-in Ninja Forms attackierbar
Angreifer könnten über eine Sicherheitslücke im Ninja-Forms-Plug-in auf eigentlich geschützte WordPress-Daten zugreifen.
Drei Schwachstellen gefährden WordPress-Websites mit dem Plug-in Ninja Forms. Eine gegen mögliche Attacken abgesicherte Version steht zum Download bereit.
Mit dem Plug-in können Admins von WordPress-Seiten Formulare für Besucher der Website anlegen. Derzeit weist es über 800.000 aktive Installationen auf. In einem Beitrag warnen Sicherheitsforscher von Patchstack vor drei Sicherheitslücken.
Die Sicherheitslücken
Setzen Angreifer erfolgreich an einer Schwachstelle (CVE-2023-37979 "hoch") an, können sie über eine XSS-Attacke auf eigentlich abgeschottete Informationen zugreifen. Aufgrund von unzureichenden Überprüfungen können Angreifer Website-Anfragen manipulieren, um eine Payload mit Schadcode zu platzieren. Die XSS-Lücke ist nicht persistent.
Aufgrund einer kaputten Zugangskontrolle können Unbefugte auf Formularübermittlungen zugreifen. Der Bedrohungsgrad der beiden Lücken (CVE-2023-38393, CVE-2023-38386) wurde offensichtlich bislang nicht eingestuft.
Der Patch
Die Entwickler geben an, die Sicherheitsprobleme in der Ausgabe 3.6.26 gelöst zu haben.
(des)