Sicherheitslücke bei WordPress Plugin – WPForms

Sicherheitslücke WordPress Plugin contact WP Forms authenticated stored xss

Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress-Plugin Contact Form by WPForms gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: Contact Form by WPForms

Das Plugin „WPForms“ macht die Erstellung von Kontaktformularen, Online-Umfragen oder Spendenformulare auf deiner Website in wenigen Minuten möglich – ohne, dass du einen Code schreiben musst. WPForms wird mit vorgefertigten WordPress-Formularvorlagen geliefert. Diese können leicht angepasst werden, sodass du nicht von ganz vorne anfangen musst. Mit dem Plugin kannst du deine WordPress-Formulare mit Abschnittsteilern, HTML-Blöcken und benutzerdefiniertem CSS vollständig anpassen. Außerdem enthält WPForms auch eine Vielzahl von Hooks und Filtern für Entwickler, um benutzerdefinierte Funktionen zu erweitern und zu erstellen. Aber alles soll für den normalen Anwender nutzbar sein, auch ohne Programmierkenntnisse.  Die Entwickler legen außerdem großen Wert auf mobile Kompatibilität und UX, was sicher wesentlich zur Beliebtheit des Plugins beiträgt.

Das beliebte Plugin zählt laut WordPress.org aktuell über 3.000.000 aktive Nutzer.

 

 


Bekannt geworden am 01.07.2020:

Kritische Sicherheitslücke: Authenticated stored Cross Site Scripting (XSS)

Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting kann dann geschehen, wenn Eingaben von einem nicht authentifizierten User ohne die notwendige Überprüfung an einen Browser weitersendet. So kann ein Angreifer unter anderem indirekt Skripte an den Browser des Opfers senden, um so Schadcode direkt auf der Seite des Clients auszuführen. In diesem konkreten Fall wurden Eingaben des choice label Parameter nicht korrekt überprüft.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die aktuelle Version (1.6.0.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10286
mehr Details (Englisch) unter: https://fortiguard.com/zeroday/FG-VD-20-063

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


Bekannt geworden am 06.03.2020:

Kritische Sicherheitslücke: Authenticated stored Cross Site Scripting (XSS)

Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting kann dann geschehen, wenn eine Webanwendung Daten annimmt, die von einem nicht authentifizierten Nutzer stammen, und diese ohne weitere Überprüfung an einen Browser weitersendet. Damit ist es einem Angreifer möglich, auch Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Seite des Clients auszuführen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.5.9) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10114
mehr Details (Englisch) unter: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10385

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


Bekannt geworden 06.12.2018:

Sicherheitslücke:  Authenticated Stored Cross-Site Scripting (XSS)

Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting tritt dann auf, wenn eine Webanwendung Daten annimmt, die von einem Nutzer stammen, und diese Daten dann an einen Browser weitersendet, ohne den Inhalt zu überprüfen. Damit ist es einem Angreifer möglich, auch Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Seite des Clients auszuführen.
Die Sicherheitslücke betrifft die Plug-In Versionen 1.4.7 oder älter.
Quelle: https://wpvulndb.com/vulnerabilities/9156

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.