Im WordPress-Plugin Ninja-Forms, einem beliebten Kontaktformular, sind mehrere Sicherheitslücken aufgetaucht. Davon betroffen sind rund eine Million WordPress Installationen. Ein Patch ist seitens des Herstellers schon verfügbar.
Das Ausnutzen von unsauberem Code, in meist sehr komplexen Plugins, gehört zu den drei größten Gefahren für die Sicherheit von WordPress-Seiten. Einem durchaus lesenswerten Bericht der Sicherheitsforscher von Wordfence zufolge, sollen Cyberkriminelle allein im vergangenen Jahr 4,3 Milliarden Versuche unternommen haben, um Sicherheitslücken auszunutzen. Jetzt haben die die Wordfence-Experten gleich 4 Schwachstellen in dem beliebten WordPress-Plugin Ninja-Forms öffentlich gemacht. Diese Sicherheitslücken haben es in sich.
Unter anderem kann die komplette Website übernommen werden. So können Angreifer den E-Mail-Verkehr über ein eigens installiertes Plugin abgefangen. Das macht es etwa zBsp. möglich einen Passwort-Reset für einen Admin-Account auszulösen und die entsprechenden Daten abzufangen, wenn der Admin-Nutzername bekannt ist. Zudem könnten durch Manipulation der OAuth-Verbindung Nutzer auf bösartige Seiten umgeleitet werden.
Ein Sicherheitspatch auf Ninja Forms Version 3.5.1 ist bereits verfügbar
Diesen Patch sollten Nutzer von Ninja Forms schnellstmöglich installieren. Bei unseren Kunden mit Servicevertrag haben wir dies bereits erledigt. Alle anderen haben wir informiert.