WordPress: Erneute Sicherheitslücke im Plugin Ninja Forms

Das beliebte Formular-Framework ist erneut von einer Sicherheitslücke betroffen. Das WordPress-Plugin ist auf mehr als einer Million Webseiten aktiv.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge

(Bild: Ninja Forms)

Von
  • Vladimir Simović

Aktuell gibt es im Formular-Plugin Ninja Forms eine Sicherheitslücke. Diese betrifft alle Versionen bis einschließlich 3.6.3. Nach den Angaben von wpscan.com, dem Sicherheitsscanner von Wordpress, besteht das Problem darin, dass die Eingaben aus den Feldern, die über die POST-Methode übertragen werden, nicht maskiert wurden.

Was die Einschränkungen auf "Nutzern mit hohen Rechten" genau bedeutet, ist bislang unklar. Jedenfalls wären potenzielle SQL-Injektionen möglich. Damit ließen sich vermutlich über Eingabefelder Datenbankabfragen einschleusen, die dann etwa Daten auslesen oder manipulieren.

Ninja Forms ist ein weitverbreitetes WordPress-Plugin, mit dem Formulare erstellt werden können, die Seitenbesucher ausfüllen können. Da die Zählweise ab einer Million nur sehr grob ist, liegt die tatsächliche Anzahl der Websites, bei denen Ninja Forms aktiviert ist, zwischen einer und zwei Millionen. Somit wären große Teile des Webs von der Sicherheitslücke betroffen.

Die aktuelle Version 3.6.4 des Plugins, die vor etwa 24 Stunden veröffentlicht wurde, behebt das Problem. In den Changelogs wird die Behebung der Lücke erwähnt:

Screenshot aus dem offiziellen Plugin-Verzeichnis: Die aktuelle Sicherheitslücke wurde geschlossen

(Bild: Ninja Forms)

Aktuell gibt es noch keine detaillierte Beschreibung, wie sich diese Lücke mit dem Bezeichner CVE-2021-24889 ausnutzen ließe. Doch am 4. November wollen die Entwickler einen sogenannten Proof-of-Concept veröffentlichen, der das illustriert. Allen Nutzern des Plugins sei dringend empfohlen, Ninja Forms bis spätestens dann auf die Version 3.6.4 zu aktualisieren.

Bereits vor wenigen Wochen war Ninja Forms von einer Sicherheitslücke betroffen. Die Problematik Ende September betraf ungeschützte Anfragen über die REST-API, die es Angreifern ermöglicht haben, sensible Daten abzuschöpfen oder E-Mail-Injektionen durchzuführen.

(mack)