Sicherheitslücke bei WordPress-Plugin: Form Maker von 10Web

15. Juli 2020
|In Security
|Von Johannes

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin „Form Maker by 10Web“ gemeldet.
Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: Form Maker

Mit dem beliebten Plugin Form Maker ist es auf sehr einfache Art und Weise möglich, Formulare für fast jeden Bedarf zu erstellen. Durch die intuitive Drag&Drop-Oberfläche ist es in kürzester Zeit möglich, responsive Formulare für deine individuellen Ansprüche zu entwerfen.   
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.

 

Bekannt geworden am 13.07.2020

Sicherheitslücke:  Authenticated reflected Cross-Site Scripting

Im Plugin „Form Maker by 10Web“ wurde gerade eine XSS-Lücke auf der ‚blocked_ips_fm‘-Seite geschlossen. Ein eingeloggter Admin konnte durch Klick auf einen manipulierten Link beliebigen JavaSkript-Code ausführen lassen. Dadurch waren Admin-Funktionen zur Manipulation zugänglich, vom Diebstahl der Daten bis hin zum Löschen. Wie immer empfehlen wir euch, diese Lücke möglichst bald zu schließen. 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.13.40) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10305

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 

! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.

 

Bekannt geworden am 25.05.2019:

Sicherheitslücke:  Authenticated SQL Injection

Über den Parameter bei /wordpress/wp-admin/admin.php?page=blocked_ips_fm&s=1″ ist eine SQL-Injektion möglich.

Diese Lücke kann es einem potentiellen Bösewicht ermöglichen, Elemente der Datenbank auszulesen, zu manipulieren oder gar die Kontrolle über den Server zu übernehmen.

Aktuell liegt noch kein Update und kein Fix für diese Lücke vor. Wir empfehlen eine WAF zu verwenden und ggf. über eine Plugin-Alternative nachzudenken.

Quelle: https://wpvulndb.com/vulnerabilities/10237

 

Bekannt geworden am 24.05.2019:

Sicherheitslücke:  Authenticated SQL Injection

Diese Lücke kann es einem potentiellen Bösewicht ermöglichen, Elemente der Datenbank auszulesen, zu manipulieren oder gar die Kontrolle über den Server zu übernehmen.
Ihr könnt die Sicherheitslücke schließen, indem ihr das Plugin auf die Version 1.13.3 aktualisiert.

 

Quelle: https://wpvulndb.com/vulnerabilities/9286

 

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt. 😉👍