Sicherheitslücke WP Plugin Ninja Forms

Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Sicherheitslücke bei WordPress-Plugin: Ninja Forms

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plug-In Ninja-Forms gemeldet. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Ninja Forms by Saturday Drive

Das Plug-In Ninja-Forms für WordPress lässt sich leicht in deine WordPress Seite integrieren und erlaubt dir z.B. einfache Kontakt- und  Buchungsformulare auf deiner Webseite einzubinden. Durch die einfache Bedienung per „drag and drop“ wird dir das Erstellen deiner Formulare mit vorgefertigten Layouts und Styles erleichtert. Ob als PDF, Microsoft Excel File oder per Google Sheets – eingehende Formulare lassen sich ganz einfach und automatisiert an die gewünschten Email-Empfänger versenden. Auch Formulare zu Zahlungen oder Spenden, einmalig oder als Dauerauftrag können ohne Weiteres erstellt werden, wobei Zahlungen von PayPal über Kreditkarte bis Stripe möglich sind.
Das Plugin zählt laut WordPress.org aktuell über 1.000.000 aktive Nutzer.

 


Bekannt geworden 16.02.2021:

Mehrere Sicherheitslücken: Open Redirect, Connection Key Disclosure, CSRF

Durch die Sicherheitslücken konnten Admins auf beliebige Seiten umgeleitet werden, was auch zu Phishing-Angriffen führen kann, wenn die Originalseite nachgestellt wird. Zudem konnten einfache Subscriber ein Plugin einschleusen und damit alle Nachrichten abfangen oder eine Anfrage zum Trennen der OAuth-Verbindung einer Website erstellen.

 

Diese Sicherheitslücken sollten daher dringend geschlossen werden, indem das Plug-In auf die neueste Version (3.4.34) aktualisiert wird.

 

Quellen:
https://wpscan.com/vulnerability/55fde9fa-f6cd-4546-bee8-4acc628251c2
https://wpscan.com/vulnerability/dfa32afa-c6de-4237-a9f2-709843dcda89, • https://wpscan.com/vulnerability/b531fb65-a8ff-4150-a9a1-2a62a3c00bd6, • https://wpscan.com/vulnerability/6147acf5-e43f-47e6-ab56-c9c8be584818

 

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

 


Bekannt geworden 22.09.2020:

Sicherheitslücke: CSRF leading to Arbitrary Plugin Installation

Das Plugin war vor dem neuesten Update anfällig für Cross-Site-Request-Forgery, wodurch ein Angreifer über einen eingeloggten Administrator ein beliebiges Plugin aus der WordPress Repository installieren und aktivieren konnte.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (3.4.27.1) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10424
Mehr Details zur Sicherheitslücke (Englisch): https://wpdeeply.com/ninja-forms-before-3-4-27-1-simple-csrf-to-rce/

 

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


Bekannt geworden 29.04.2020:

Sicherheitslücke: CSRF to XSS

Durch unzureichende Validierung von HTTP Requests ist es einem Angreifer möglich, Kontrolle über die Session eines Benutzers zu erhalten, wenn dieser auf einen zuvor manipulierten Link klickt. Dadurch eröffnet sich letztlich die Gefahr einer Stored XSS-Attacke.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (3.4.24.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10200


Bekannt geworden 14.02.2020:

Sicherheitslücke: Multiple Authenticated Stored Cross-Site Scripting

Bei den Parametern recaptcha_site_key, recaptcha_secret_key, recaptcha_lang and date_format keys ergeben sich Authenticated Stored XSS – Sicherheitslücken. In Kombination mit einem Phishing-Angriff ließe sich so bspw. eine Administrator-Sitzung bzw. der entsprechende Cookie übernehmen – mit allen ensprechenden Gefahren bspw. für Erreichbarkeit der Seite, Sicherheit von Kunden- und Nutzerdaten und allen weiterführenden Angriffen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (3.4.23) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10070
mehr Details (Englisch) unter:
https://spider-security.co.uk/blog-cve-cve-2020-8594


Bekannt geworden 10.05.2019:

Sicherheitslücke: Unauthenticated Arbitrary File Upload

Wie nun bekannt wurde, weist das Ninja Forms Plugin der Version 3.0.22 oder älter eine Directory Traversal auf. Hierdurch ist es einem Angreifer möglich, auf Dateien zuzugreifen und über die includes/fields/upload.php (aka upload/submit page), name und tmp_name Parameter auch Code auszuführen.

Quelle: https://wpvulndb.com/vulnerabilities/9272


Bekannt geworden 04.12.2018:

Sicherheitslücke: Authenticated Open Redirect

Ein offener Redirect im Plugin ermöglicht es Remote Angreifern einen Benutzer über den lib/StepProcessing/step-processing.php (submissions download page) Redirect-Parameter umzuleiten. Die Sicherheitslücke betrifft die Plug-In Versionen 3.3.19 oder älter. Die Sicherheitslücke lässt sich schließen, indem das Plugin auf die neueste Version aktualisiert wird.


Bekannt geworden am 15.11.2018:

Sicherheitslücke: Cross-Site Scripting (XSS) in Admin Menus Submissions

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Die Lücke betrifft die Plug-In Versionen 3.3.17 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9149


Bekannt geworden am 28.08.2018:

Sicherheitslücke: Cross-Site Scripting (XSS) in Import Function

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Die Lücke betrifft die Plug-In Versionen 3.3.13 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9116

Sicherheitslücke: CSV Injection

Die zweite Sicherheitslücke ermöglicht es dem Angreifer schädliche Skripte in eine CSV Datei (Excel) einzubinden. Die Lücke betrifft die Plug-In Versionen 3.3.13 oder älter.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9115


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

4/5 - (10 votes)

Dein WordPress ist dir wichtig?

Dann brauchst du einen Hosting-Anbieter, dem du vertrauen kannst

Wir unterstützen dich von Anfang an! Unser Serviceteam löst Probleme und beantwortet Fragen rund um deine WordPress Webseite, damit du dich auf dein Geschäft konzentrieren kannst. Wir hören erst auf, wenn du zufrieden bist.

Wir sind für dich da bei
Malware-Befall TV-Kampagnen Lasttests Performance-Tests technischen Fragen

Mo – Fr, 8 – 17 Uhr

Termin vereinbaren

Mo – Fr, 8 – 17 Uhr

Antworten & Anleitungen

HostPress GmbH Highspeed WordPress Hosting, Mail und Domain Anonym hat 4,93 von 5 Sternen 289 Bewertungen auf ProvenExpert.com

HostPress® ist Partner von:

Managed WordPress Hosting aus Deutschland

Managed WordPress Hosting

aus Deutschland

 

Bekannt aus: