Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin „Form Maker by 10Web“ gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress Plugin: Form Maker
Mit dem beliebten Plugin Form Maker ist es auf sehr einfache Art und Weise möglich, Formulare für fast jeden Bedarf zu erstellen. Durch die intuitive Drag&Drop-Oberfläche ist es in kürzester Zeit möglich, responsive Formulare für deine individuellen Ansprüche zu entwerfen.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.
Bekannt geworden am 13.07.2020
Sicherheitslücke: Authenticated reflected Cross-Site Scripting
Im Plugin „Form Maker by 10Web“ wurde gerade eine XSS-Lücke auf der ‚blocked_ips_fm‘-Seite geschlossen. Ein eingeloggter Admin konnte durch Klick auf einen manipulierten Link beliebigen JavaSkript-Code ausführen lassen. Dadurch waren Admin-Funktionen zur Manipulation zugänglich, vom Diebstahl der Daten bis hin zum Löschen. Wie immer empfehlen wir euch, diese Lücke möglichst bald zu schließen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.13.40) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10305
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Bekannt geworden am 25.05.2019:
Sicherheitslücke: Authenticated SQL Injection
Über den Parameter bei /wordpress/wp-admin/admin.php?page=blocked_ips_fm&s=1″ ist eine SQL-Injektion möglich.
Diese Lücke kann es einem potentiellen Bösewicht ermöglichen, Elemente der Datenbank auszulesen, zu manipulieren oder gar die Kontrolle über den Server zu übernehmen.
Aktuell liegt noch kein Update und kein Fix für diese Lücke vor. Wir empfehlen eine WAF zu verwenden und ggf. über eine Plugin-Alternative nachzudenken.
Quelle: https://wpvulndb.com/vulnerabilities/10237
Bekannt geworden am 24.05.2019:
Sicherheitslücke: Authenticated SQL Injection
Diese Lücke kann es einem potentiellen Bösewicht ermöglichen, Elemente der Datenbank auszulesen, zu manipulieren oder gar die Kontrolle über den Server zu übernehmen.
Ihr könnt die Sicherheitslücke schließen, indem ihr das Plugin auf die Version 1.13.3 aktualisiert.
Quelle: https://wpvulndb.com/vulnerabilities/9286
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt. 😉👍
Mehr aktuelle und beliebte Beiträge rund um WordPress & Co.: