Achtung, Achtung! Liebe WordPress-Nutzerinnen und -Nutzer, bitte anschnallen und gut festhalten, denn es gibt Neuigkeiten aus der faszinierenden Welt der Plugins! Das beliebte WordPress-Formular-Plugin Ninja Forms hat drei Sicherheitsl\u00fccken, die es Angreifern erm\u00f6glichen k\u00f6nnten, in die Privatsph\u00e4re einzudringen und Benutzerdaten zu stehlen. Klingt nach einem schlechten Kung-Fu-Film, ist aber leider bittere Realit\u00e4t.<\/p>\n
Die tapferen Forscher von Patchstack haben am 22. Juni 2023 die drei Sicherheitsl\u00fccken entdeckt und dem Entwickler des Plugins, Saturday Drive, Bescheid gegeben. Sie haben die Alarmglocken gel\u00e4utet und darauf hingewiesen, dass die Versionen 3.6.25 und \u00e4lter von Ninja Forms betroffen sind. Aber keine Panik, wir haben den Helden in strahlender R\u00fcstung! Am 4. Juli 2023 haben die Entwickler die Version 3.6.26 herausgebracht, um die Sicherheitsl\u00fccken zu stopfen.<\/p>\n
Was? Nur die H\u00e4lfte der NinjaForms-Benutzer hat die neueste Version heruntergeladen? Das sind etwa 400.000 Websites, die sich wie ein Buffet f\u00fcr die Angreifer anbieten! Das ist ja so, als w\u00fcrde man den Einbrechern die Haust\u00fcr offen lassen und sagen: „Kommen Sie doch rein und bedienen Sie sich an meinen Daten!“<\/p>\n
Aber lasst uns einen genaueren Blick auf diese fiesen Sicherheitsl\u00fccken werfen. Die erste L\u00fccke, die von Patchstack entdeckt wurde, h\u00f6rt auf den Namen CVE-2023-37979 (was f\u00fcr ein Zungenbrecher!). Hierbei handelt es sich um einen POST-basierten reflektierten XSS-Fehler, der nicht authentifizierten Benutzern erlaubt, ihre Privilegien zu erh\u00f6hen und Informationen zu stehlen. Das Ganze funktioniert, indem sie privilegierte Benutzer dazu bringen, eine speziell erstellte Webseite zu besuchen. Klingt kompliziert? Ja, das ist es auch!<\/p>\n
Die zweite und dritte Sicherheitsl\u00fccke, genannt CVE-2023-38393 und CVE-2023-38386, sind Probleme mit der Zugriffskontrolle in der Exportfunktion f\u00fcr Formulare des Plugins. Das hei\u00dft, dass Abonnenten und Mitwirkende Daten exportieren k\u00f6nnen, die Benutzer auf der betroffenen WordPress-Website eingereicht haben. Das ist so, als w\u00fcrden die Daten aus deinem K\u00fchlschrank von jemand anderem geklaut werden. Unversch\u00e4mt!<\/p>\n
Aber halt, meine tapferen WordPress-Administratoren! Es gibt Hoffnung! Die Entwickler haben in der Version 3.6.26 Patches eingebaut, die die Probleme mit der Zugriffskontrolle beheben und das XSS-Teufelchen in seine Schranken weisen. Aber da gibt es leider immer noch eine signifikante Anzahl von Benutzern, die diese Updates bisher nicht gemacht haben. Das ist etwa so, als w\u00fcrde man eine Einladung zu einer Party ausschlagen, auf der es Gratis-Pizza gibt. Eine Trag\u00f6die!<\/p>\n
Patchstack bietet sogar detaillierte technische Informationen zu den Sicherheitsl\u00fccken an, sodass erfahrene Angreifer sich wie zu Hause f\u00fchlen w\u00fcrden. Aber bitte, liebe Website-Administratoren, aktualisiert eure Ninja Forms-Plugins so schnell wie m\u00f6glich auf die Version 3.6.26 oder neuer. Wenn das nicht m\u00f6glich ist, dann deaktiviert das Plugin lieber, bis ihr den Patch anwenden k\u00f6nnt. Das ist so, als w\u00fcrde man eine Baustelle absichern, damit niemand hineinf\u00e4llt.<\/p>\n
Also, liebe WordPress-Gemeinde, lasst uns gemeinsam gegen die dunklen M\u00e4chte der Sicherheitsl\u00fccken k\u00e4mpfen und unsere Websites sicherer machen! Denn wenn es um unsere Daten geht, sollten wir nicht wie die Dodos sein, sondern wie die Ninjas \u2013 schnell, wachsam und immer bereit, uns zu verteidigen!<\/p>\n
Schlagw\u00f6rter: WordPressFormularPlugin + Sicherheitsl\u00fccken + Benutzerdaten<\/p>\n","protected":false},"excerpt":{"rendered":"
Achtung, Achtung! Liebe WordPress-Nutzerinnen und -Nutzer, bitte anschnallen und gut festhalten, denn es gibt Neuigkeiten aus der faszinierenden Welt der Plugins! Das beliebte WordPress-Formular-Plugin Ninja Forms hat drei Sicherheitsl\u00fccken, die es Angreifern erm\u00f6glichen k\u00f6nnten, in die Privatsph\u00e4re einzudringen und Benutzerdaten zu stehlen. Klingt nach einem schlechten Kung-Fu-Film, ist aber leider...<\/p>\n","protected":false},"author":4,"featured_media":165,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-166","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=166"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/166\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/165"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}