FEHLER!

Kritische Sicherheitslücke im beliebten WordPress-Plugin Forminator entdeckt

IT-Sicherheitsforscher haben in einem WordPress-Plugin eine Schwachstelle entdeckt, die Angreifern theoretisch weitreichende Kontrolle über Webseiten ermöglichen könnte. Das Plugin Forminator, mit über 600.000 Installationen ein echtes Schwergewicht in der WordPress-Community, weist eine Sicherheitslücke auf, durch die nicht authentifizierte Akteure unter Umständen vollständige Kontrolle übernehmen könnten. Die Experten von Wordfence haben diesen gefährlichen Schwachpunkt aufgedeckt und warnen eindringlich vor den möglichen Folgen.

Die Schwachstelle liegt in der Funktionsweise der Datei-Manipulation innerhalb des Plugins. Durch gezielte Manipulationen bei der Übermittlung von Formularen können Angreifer beliebige Dateipfade angeben. Forminator, ungeschützt vor diesen Eingriffen, löscht daraufhin die spezifizierte Datei, selbst wenn diese Aktion durch Administratoren oder automatisierte Prozesse im Rahmen der Plugin-Einstellungen ausgelöst wird. Ein besonders kritischer Punkt ist dabei das Potenzial, die Datei „wp-config.php“ zu löschen. Diese Datei enthält zentrale Konfigurationsparameter für eine WordPress-Instanz. Durch ihr Verschwinden würde die Webseite in einen Zustand zurückversetzt, der einem Setup-Modus ähnelt, wodurch Angreifer mit Zugriff auf eine ihnen untergeordnete Datenbank die vollständige Kontrolle übernehmen könnten. Sie könnten dann beliebigen Code ausführen und die Webseite für ihre Zwecke missbrauchen.

Obwohl das Ausnutzen dieser Schwachstelle möglicherweise gewisse Schritte von passiven oder aktiven Aktionen des Angreifers erfordert, sehen die Experten aufgrund der Häufigkeit von Formularübermittlungen, insbesondere solchen mit einem hohen Spam-Anteil, ein erhebliches Risiko darin. Wordfence betont daher die Dringlichkeit eines schnellen Updates für alle betroffenen WordPress-Instanzen. Version 1.44.3, veröffentlicht Anfang dieser Woche, enthält die Fehlerbehebung für dieses Problem.

Diese Sicherheitslücke in Forminator folgt auf einen ähnlichen Vorfall im Plugin AI Engine Mitte Juni, das ebenfalls weit verbreitete Webseiten gefährdete. Diese Ereignisse unterstreichen die Bedeutung von kontinuierlichen Sicherheitsupdates und der engen Aufmerksamkeit auf potenzielle Schwachstellen in WordPress-Plugins, um Webseiten vor Angriffen zu schützen.

Schlagwörter: wp-config.php“ + Wordfence + AI Engine

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 2. Juli 2025