Achtung WordPress-Nutzer: Sicherheitslücken in Ninja Forms Plugin entdeckt

Achtung, Achtung! Liebe WordPress-Nutzerinnen und -Nutzer, bitte anschnallen und gut festhalten, denn es gibt Neuigkeiten aus der faszinierenden Welt der Plugins! Das beliebte WordPress-Formular-Plugin Ninja Forms hat drei Sicherheitslücken, die es Angreifern ermöglichen könnten, in die Privatsphäre einzudringen und Benutzerdaten zu stehlen. Klingt nach einem schlechten Kung-Fu-Film, ist aber leider bittere Realität.

Die tapferen Forscher von Patchstack haben am 22. Juni 2023 die drei Sicherheitslücken entdeckt und dem Entwickler des Plugins, Saturday Drive, Bescheid gegeben. Sie haben die Alarmglocken geläutet und darauf hingewiesen, dass die Versionen 3.6.25 und älter von Ninja Forms betroffen sind. Aber keine Panik, wir haben den Helden in strahlender Rüstung! Am 4. Juli 2023 haben die Entwickler die Version 3.6.26 herausgebracht, um die Sicherheitslücken zu stopfen.

Was? Nur die Hälfte der NinjaForms-Benutzer hat die neueste Version heruntergeladen? Das sind etwa 400.000 Websites, die sich wie ein Buffet für die Angreifer anbieten! Das ist ja so, als würde man den Einbrechern die Haustür offen lassen und sagen: “Kommen Sie doch rein und bedienen Sie sich an meinen Daten!”

Aber lasst uns einen genaueren Blick auf diese fiesen Sicherheitslücken werfen. Die erste Lücke, die von Patchstack entdeckt wurde, hört auf den Namen CVE-2023-37979 (was für ein Zungenbrecher!). Hierbei handelt es sich um einen POST-basierten reflektierten XSS-Fehler, der nicht authentifizierten Benutzern erlaubt, ihre Privilegien zu erhöhen und Informationen zu stehlen. Das Ganze funktioniert, indem sie privilegierte Benutzer dazu bringen, eine speziell erstellte Webseite zu besuchen. Klingt kompliziert? Ja, das ist es auch!

Die zweite und dritte Sicherheitslücke, genannt CVE-2023-38393 und CVE-2023-38386, sind Probleme mit der Zugriffskontrolle in der Exportfunktion für Formulare des Plugins. Das heißt, dass Abonnenten und Mitwirkende Daten exportieren können, die Benutzer auf der betroffenen WordPress-Website eingereicht haben. Das ist so, als würden die Daten aus deinem Kühlschrank von jemand anderem geklaut werden. Unverschämt!

Aber halt, meine tapferen WordPress-Administratoren! Es gibt Hoffnung! Die Entwickler haben in der Version 3.6.26 Patches eingebaut, die die Probleme mit der Zugriffskontrolle beheben und das XSS-Teufelchen in seine Schranken weisen. Aber da gibt es leider immer noch eine signifikante Anzahl von Benutzern, die diese Updates bisher nicht gemacht haben. Das ist etwa so, als würde man eine Einladung zu einer Party ausschlagen, auf der es Gratis-Pizza gibt. Eine Tragödie!

Patchstack bietet sogar detaillierte technische Informationen zu den Sicherheitslücken an, sodass erfahrene Angreifer sich wie zu Hause fühlen würden. Aber bitte, liebe Website-Administratoren, aktualisiert eure Ninja Forms-Plugins so schnell wie möglich auf die Version 3.6.26 oder neuer. Wenn das nicht möglich ist, dann deaktiviert das Plugin lieber, bis ihr den Patch anwenden könnt. Das ist so, als würde man eine Baustelle absichern, damit niemand hineinfällt.

Also, liebe WordPress-Gemeinde, lasst uns gemeinsam gegen die dunklen Mächte der Sicherheitslücken kämpfen und unsere Websites sicherer machen! Denn wenn es um unsere Daten geht, sollten wir nicht wie die Dodos sein, sondern wie die Ninjas – schnell, wachsam und immer bereit, uns zu verteidigen!

Schlagwörter: WordPressFormularPlugin + Sicherheitslücken + Benutzerdaten

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 11. Oktober 2023