Sicherheitslücke bei WordPress-Plugin: Pirate Forms

Sicherheitslücke PirateForms
Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin „Pirate Forms“ by WPForms gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin:  Pirate Forms  by WPForms

Zunächst einmal sollte hier erwähnt werden, dass Pirate Forms nicht mehr länger weiterentwickelt wird. Das Plugin wurde im September ’18 von WPForms erworben und die Weiterentwicklung wurde zugunsten einer singulären State-of-the-art-Lösung per WPForms eingestellt.
PirateForms bietet auf einfache Weise eine Möglichkeit ein Kontaktformular mit Captcha-Plugin auf seiner WordPress-Seite einzupflegen.
Das Plugin zählt laut WordPress.org aktuell über 200.000 aktive Nutzer.

 

 

Bekannt geworden am 28.07.2019:

Sicherheitslücke: HTML Injection

Das PirateForms-Plugin hatte bis zur Version 1.5.2 eine Sicherheitslücke, die einem Angreifer HTML-Injektion per Email über das Kontaktformular ermöglicht hat.
Die Gefahr geht vom Skript ‚public/class-pirateforms-public.php‘ aus. Da PirateForms alle Emails, die vom Kontaktformular aus gesendet werden in die Admin-Mailbox weiterleitet, kann über HTML-Code bspw. ein Link zu einer bösartigen Login-Page eingebracht werden, um schließlich an die Zugangsdaten des Admins zu gelangen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.5.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9481

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.