Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
28.07.23, 18:30
|
#1
|
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Schwarzwald
Beiträge: 2.878
Bedankt: 3.253
|
Nutzerdaten in Gefahr: Hunderttausende von Wordpress-Seiten anfällig für Datenklau
Zitat:
Nutzerdaten in Gefahr: Hunderttausende von Wordpress-Seiten anfällig für Datenklau
Drei Schwachstellen im Wordpress-Plugin Ninja Forms können mitunter massive Datenlecks zur Folge haben. Admins sollten zeitnah updaten.
Sicherheitsforscher von Patchstack haben drei Schwachstellen im Wordpress-Plugin Ninja Forms entdeckt, mit denen Angreifer auf betroffenen Systemen ihre Rechte ausweiten und Benutzerdaten stehlen können. Angreifbar sind dem Bericht der Forscher zufolge alle jene mit dem weitverbreiteten Formularerstellungstool ausgestatteten Wordpress-Seiten, die noch auf Version 3.6.25 oder früher setzen.
Ninja Forms ist anfällig für Datenklau
Bei der ersten Sicherheitslücke (CVE-2023-37979) handelt es sich demnach um einen POST-basierten XSS-Fehler (Cross-Site-S*****ing), mit dem nicht authentifizierte Benutzer sensible Informationen stehlen und infolgedessen ihre Rechte ausweiten können, indem sie andere privilegierte Nutzer dazu bringen, eine manipulierte Webseite zu besuchen.
Die anderen beiden Schwachstellen, registriert als CVE-2023-38393 und CVE-2023-38386, basieren auf einer defekten Zugriffskontrolle für den Export von Formulardaten. Damit sei es auf einer Wordpress-Seite eingeloggten Benutzern, die der Rolle Subscriber oder Contributor zugewiesen sind, möglich, Formulareingaben sämtlicher Anwender zu stehlen.
Wie Bleeping Computer berichtet, soll sich gerade CVE-2023-38393 besonders leicht ausnutzen lassen, da die für einen Angriff erforderliche Subscriber-Rolle üblicherweise schon für eine einfache Benutzerregistrierung vergeben wird. Dies könne auf zahlreichen Webseiten, die das anfällige Plugin nutzen, massive Datenlecks zur Folge haben.
Patch steht bereit – jetzt updaten!
Saturday Drive, der Entwickler von Ninja Forms, hat inzwischen einen Patch bereitgestellt, der alle drei Sicherheitslücken schließt. Geschützt sind demnach alle Webseiten, die die am 4. Juli 2023 veröffentlichte Version 3.6.26 oder neuer im Einsatz haben. Ein Blick auf die Installationsstatistiken des auf mehr als 800.000 Systemen installierten Plugins verrät jedoch, dass noch Hunderttausende Wordpress-Seiten eine ältere Version verwenden und damit angreifbar sind.
Gerade jetzt, wo Details zu den Schwachstellen an die Öffentlichkeit gelangt sind, dürfte es für erfahrene Hacker ein Leichtes sein, Daten von betroffenen Webseiten abzugreifen. Administratoren sollten Ninja Forms daher zeitnah auf die neuste Version aktualisieren oder das Plugin vollständig deaktivieren, sofern ein Update nicht möglich ist.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:09 Uhr.
().
|
Linear-Darstellung
