Sicherheitslücken gefunden: Diese zwei WordPress-Plugins solltet ihr updaten
Kürzlich wurden zwei Sicherheitslücken in beliebten WordPress-Plugins entdeckt. Bei beiden handelt es sich um Kontaktformulare, welche zusammen auf mehr als 1,1 Millionen Webseiten installiert sind.
Betroffen sind die Plugins Ninja Forms und Fluent Forms. Es handelt sich dabei um unterschiedliche Sicherheitslücken. In beiden Fällen wird aber geraten, die Plugins schnellstmöglich auf die neueste Version zu aktualisieren.
Ninja Forms ist weltweit auf über 800.000 Webseiten installiert, während Fluent Forms auf mehr als 300.000 Installationen kommt.
Das sind die Sicherheitslücken
Bei der Schwachstelle im Plugin von Ninja Forms handelt es sich um sogenanntes Reflected Cross-Site Scripting, wie das Search Engine Journal berichtet. Dabei waren URL-Parameter unzureichend maskiert, was Angreifern die Möglichkeit bietet, schädlichen Code in die Webseite einzuschleusen.
Dafür müssten die Angreifer allerdings zuerst einen Admin-Nutzer der Seite dazu bringen, auf einen vorher präparierten Link zu klicken. Dadurch könnte dieser dann selbst Administratorenrechte erlangen.
Bei der Sicherheitslücke in Fluent Forms handelt es sich um eine fehlende Berechtigungsprüfung bei API-Interaktionen. Hier können Nutzer mit Subscriber-Rechten den Mailchimp-API-Schlüssel ändern, ohne dass eine Berechtigungsprüfung erfolgt.
Dadurch könnten Angreifer den API-Schlüssel auf einen eigenen Server umleiten und so an sensible Daten der Webseite kommen. Das Common Vulnerability Scoring System (CVSS-Bewertung) stuft diese Sicherheitslücke mit 4.2 ein, was einem mittleren Risiko entspricht.
Plugins sollen aktualisiert werden
Für beide Plugins sind Updates verfügbar, die die Sicherheitslücken schließen. Darum solltet ihr sie auf die neueste Version aktualisieren. Bei Ninja Forms ist das die Version 3.8.14 und bei Fluent Forms die Version 5.2.0.