Kritische Sicherheitslücken: Ninja Forms

 

Aktuell wurden uns mehrere kritische Sicherheitslücken bei dem WordPress Plug-In „Ninja-Forms“ gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In auf eurer WordPress Seite nutzt.

 

Um welches Plug-In handelt es sich?

Das Plug-In Ninja-Forms für WordPress lässt sich leicht in deine WordPress Seite integrieren und erlaubt dir z.B. einfache Kontakt- und  Buchungsformulare auf deiner Webseite einzubinden. Durch die einfache Bedienung per „drag and drop“ wird dir das Erstellen deiner Formulare mit vorgefertigten Layouts und Styles erleichtert. Über 1 Mio. aktive Nutzer zählt dieses Plug-In

 

Bekannt geworden 10.05.2019:

Sicherheitslücke: Unauthenticated Arbitrary File Upload

Wie nun bekannt wurde, weist das Ninja Forms Plugin der Version 3.0.22 oder älter eine Directory Traversal auf. Hierdurch ist es einem Angreifer möglich, auf Dateien zuzugreifen und über die includes/fields/upload.php (aka upload/submit page), name und tmp_name Parameter auch Code auszuführen.

Quelle: https://wpvulndb.com/vulnerabilities/9272

 

Bekannt geworden 04.12.2018:

Sicherheitslücke: Authenticated Open Redirect

Ein offener Redirect im Plugin ermöglicht es Remote Angreifern einen Benutzer über den lib/StepProcessing/step-processing.php (submissions download page) Redirect-Parameter umzuleiten. Die Sicherheitslücke betrifft die Plug-In Versionen 3.3.19 oder älter. Die Sicherheitslücke lässt sich schließen, indem das Plugin auf die neueste Version aktualisiert wird.

 

 

Bekannt geworden am 15.11.2018:

Sicherheitslücke: Cross-Site Scripting (XSS) in Admin Menus Submissions

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Die Lücke betrifft die Plug-In Versionen 3.3.17 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9149

 

 

Bekannt geworden am 28.08.2018:

Sicherheitslücke: Cross-Site Scripting (XSS) in Import Function

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Die Lücke betrifft die Plug-In Versionen 3.3.13 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9116

 

Sicherheitslücke: CSV Injection

Die zweite Sicherheitslücke ermöglicht es dem Angreifer schädliche Skripte in eine CSV Datei (Excel) einzubinden. Die Lücke betrifft die Plug-In Versionen 3.3.13 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9115

 

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.

Kritische Sicherheitslücken: Ninja Forms
5 (100%) 3 vote[s]

Ähnliche Beiträge

wordpress-hosting anbieter vergleich
HostPress® – bester deutscher Anbieter für WordPress-Hosting 2019

WordPress-Hosting im globalen Vergleich Gerade wurden die Ergebnisse der globalen Marktanalyse von…


Google Speed Update
Achtung Webmaster: Google bestraft bald langsame Webseiten

Google redet Klartext! Mehr als 53% aller Besuche werden abgebrochen, wenn eine Seite länger als 3…


WP File Manager
Sicherheitslücke bei WordPress-Plugin: WP File Manager

Aktuell wurde uns eine kritische Sicherheitslücke bei dem WordPress Plugin "WP File Manager"…


WordPress sicherer machen – Das Thema WordPress Sicherheit im Überblick

Wer auf Basis von WordPress eine Webseite betreibt, kommt auf kurz oder lang nicht darum herum,…