FEHLER!

Sicherheitslücke in WPForms: Angreifer könnten Zahlungen erstatten und Abonnements beenden

Ein beliebtes WordPress-Plugin, mit dem Millionen von Websites Formulare erstellen, birgt eine ernstzunehmende Sicherheitslücke. IT-Sicherheitsforscher haben in WPForms eine Schwachstelle entdeckt, die es Angreifern ermöglichen könnte, Zahlungen zurückzuerstatten und Abonnements zu kündigen. Das Unternehmen Wordfence, bekannt für seine Sicherheitsanalysen im WordPress-Ökosystem, hat den Fehler öffentlich aufgedeckt und Details sowie Lösungsansätze veröffentlicht.

Die Sicherheitslücke betrifft Versionen von WPForms zwischen 1.8.4 und 1.9.2.1, einschließlich beider Versionen. Sie resultiert aus einer fehlenden Prüfung der Benutzerberechtigungen in der Funktion `codewpforms_is_admin_page`. Dadurch können nicht autorisierte Nutzer mit Subscriber-Zugriff oder höheren Rechten Daten manipulieren, wie beispielsweise Zahlungen rückgängig machen oder Abonnements beenden. Die Schwachstelle wurde mit CVE-2024-11205 klassifiziert und hat einen CVSS-Score von 8,5, was ein hohes Risiko darstellt.

WPForms ist eines der beliebtesten WordPress-Plugins und wird auf über sechs Millionen Websites eingesetzt. Es ermöglicht Nutzern, einfach Formulare für diverse Zwecke wie Kontaktformulare, Feedbacksammlungen oder Abonnements zu erstellen – alles mithilfe eines intuitiven Drag-and-Drop-Systems.

Glücklicherweise hat das Team hinter WPForms schnell reagiert und eine Lösung entwickelt. Version 1.9.2.2 und alle späteren Updates beheben die Schwachstelle zuverlässig. Das Update war bereits seit dem 18. November verfügbar. Wordfence empfiehlt dringend allen WordPress-Administratoren, ihre WPForms-Installationen auf diese neueste Version zu aktualisieren, um sich vor diesem Exploit zu schützen.

In einem detaillierten Blogbeitrag erläutert Wordfence den Fehler im Quelltext und stellt eine Schritt-für-Schritt-Anleitung zur Behebung des Problems bereit.

Diese Sicherheitslücke zeigt einmal mehr die Notwendigkeit kontinuierlicher Updates und Sicherheitsüberprüfungen bei beliebten Plugins, um WordPress-Websites effektiv vor Angriffen zu schützen.

Schlagwörter: Wordfence + WordPress-Plug-in WPForms + CVSS

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 10. Dezember 2024