Wordpress: WPForms-Plug-in reißt Sicherheitsleck in 6 Millionen Webseiten
Im Wordpress-Plug-in WPForms können Angreifer eine Lücke missbrauchen, um etwa Zahlungen rückabzuwickeln. Sechs Millionen Webseiten nutzen das Plug-in.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Im Wordpress-Plug-in WPForms haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt, durch die Angreifer etwa Zahlungen erstatten oder Abonnements auflösen können. Aktualisierte Software steht bereit, die die Schwachstelle ausbessert.
In einem Blog-Beitrag schreibt das Unternehmen Wordfence, dass angemeldete Nutzer mit Subscriber-Zugriff oder höheren Rechten Zahlungen rückerstatten und Abonnements abbrechen können. Das liegt an einer fehlenden Prüfung der Fähigkeiten in der wpforms_is_admin_page-Funktion, wodurch nicht autorisierte Änderungen an Daten möglich werden (CVE-2024-11205, CVSS 8.5, Risiko "hoch").
WPForms: Aktualisierte Plug-in-Version verfügbar
Das Wordpress-Plug-in WPForms ist eine der populärsten Erweiterungen, sie kommt auf mehr als sechs Millionen Wordpress-Seiten zum Einsatz. WPForms dient zum Erstellen von Formularen wie Kontaktformulare, Feedback-Formulare, Abo-Formulare und so weiter. Nutzerinnen und Nutzer können damit solche Formulare einfach mit Drag-and-Drop zusammenstellen. Verwundbar sind die Versionen 1.8.4 bis 1.9.2.1 einschließlich, WPForms 1.9.2.2 und neuere Fassungen bessern die Schwachstelle aus. Das Update ist seit dem 18. November verfügbar.
Videos by heise
Wordpress-Admins sollten sicherstellen, dass die jüngste Version von WPForms in ihrer Wordpress-Instanz installiert ist, empfiehlt Wordfence. Die IT-Forscher erörtern im Blog-Beitrag zudem den Fehler im Quelltext detaillierter.
Wordpress-Plug-ins sorgen immer wieder dafür, dass Wordpress-Instanzen angreifbar werden. Ende November wurde etwa bekannt, dass im Wordpress-Plug-in Anti-Spam by Cleantalk zwei kritische Sicherheitslücken klaffen. Angreifer aus dem Netz konnten dadurch ohne vorherige Authentifizierung verwundbare Instanzen vollständig kompromittieren. Das Plug-in kommt auf mehr als 200.000 Webseiten zum Einsatz.
(dmk)
