Kritische Sicherheitslücken: Ninja Forms

4. Dezember 2018
|In Security
|Von Nina

 

Aktuell wurden uns mehrere kritische Sicherheitslücken bei dem WordPress Plug-In „Ninja-Forms“ gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In auf eurer WordPress Seite nutzt.

 

Um welches Plug-In handelt es sich?

Das Plug-In Ninja-Forms für WordPress lässt sich leicht in deine WordPress Seite integrieren und erlaubt dir z.B. einfache Kontakt- und  Buchungsformulare auf deiner Webseite einzubinden. Durch die einfache Bedienung per „drag and drop“ wird dir das Erstellen deiner Formulare mit vorgefertigten Layouts und Styles erleichtert. Über 1 Mio. aktive Nutzer zählt dieses Plug-In

 

Bekannt geworden 10.05.2019:

Sicherheitslücke: Unauthenticated Arbitrary File Upload

Wie nun bekannt wurde, weist das Ninja Forms Plugin der Version 3.0.22 oder älter eine Directory Traversal auf. Hierdurch ist es einem Angreifer möglich, auf Dateien zuzugreifen und über die includes/fields/upload.php (aka upload/submit page), name und tmp_name Parameter auch Code auszuführen.

Quelle: https://wpvulndb.com/vulnerabilities/9272

 

Bekannt geworden 04.12.2018:

Sicherheitslücke: Authenticated Open Redirect

Ein offener Redirect im Plugin ermöglicht es Remote Angreifern einen Benutzer über den lib/StepProcessing/step-processing.php (submissions download page) Redirect-Parameter umzuleiten. Die Sicherheitslücke betrifft die Plug-In Versionen 3.3.19 oder älter. Die Sicherheitslücke lässt sich schließen, indem das Plugin auf die neueste Version aktualisiert wird.

 

 

Bekannt geworden am 15.11.2018:

Sicherheitslücke: Cross-Site Scripting (XSS) in Admin Menus Submissions

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Die Lücke betrifft die Plug-In Versionen 3.3.17 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9149

 

 

Bekannt geworden am 28.08.2018:

Sicherheitslücke: Cross-Site Scripting (XSS) in Import Function

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Die Lücke betrifft die Plug-In Versionen 3.3.13 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9116

 

Sicherheitslücke: CSV Injection

Die zweite Sicherheitslücke ermöglicht es dem Angreifer schädliche Skripte in eine CSV Datei (Excel) einzubinden. Die Lücke betrifft die Plug-In Versionen 3.3.13 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9115

 

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.

Ähnliche Beiträge

wordpress-hosting anbieter vergleich
WordPress Hosting – HostPress® bester deutscher Anbieter im Vergleich

WordPress Hosting im globalen Vergleich Gerade wurden die Ergebnisse der globalen Marktanalyse von…

von Johannes

hostpress-sicherheitsluecke-wpforms
Sicherheitslücke bei WordPress Plugin – WPForms

Aktuell wurden uns eine Sicherheitslücke bei dem WordPress Plug-In "WPForms" gemeldet. Wir…

von Nina

WordPress Release 5.2 „Jaco“

WordPress 5.2 ist nun offiziell verfügbar und wir haben nur für euch die wesentlichsten Neuerungen…

von Johannes

Sicherheitslücke ultimate member
Sicherheitslücke bei WordPress Plugin – Ultimate Member

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Ultimate Member gemeldet. Was zu…

von Nina

1 Kommentar

Kommentar schreiben

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.