Wordpress: WPForms-Plug-in reißt Sicherheitsleck in 6 Millionen Webseiten

Im Wordpress-Plug-in WPForms haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt, durch die Angreifer etwa Zahlungen erstatten oder Abonnements auflösen können. Aktualisierte Software steht bereit, die die Schwachstelle ausbessert.

In einem Blog-Beitrag schreibt das Unternehmen Wordfence, dass angemeldete Nutzer mit Subscriber-Zugriff oder höheren Rechten Zahlungen rückerstatten und Abonnements abbrechen können. Das liegt an einer fehlenden Prüfung der Fähigkeiten in der wpforms_is_admin_page-Funktion, wodurch nicht autorisierte Änderungen an Daten möglich werden (CVE-2024-11205, CVSS 8.5, Risiko "hoch").

WPForms: Aktualisierte Plug-in-Version verfügbar

Das Wordpress-Plug-in WPForms ist eine der populärsten Erweiterungen, sie kommt auf mehr als sechs Millionen Wordpress-Seiten zum Einsatz. WPForms dient zum Erstellen von Formularen wie Kontaktformulare, Feedback-Formulare, Abo-Formulare und so weiter. Nutzerinnen und Nutzer können damit solche Formulare einfach mit Drag-and-Drop zusammenstellen. Verwundbar sind die Versionen 1.8.4 bis 1.9.2.1 einschließlich, WPForms 1.9.2.2 und neuere Fassungen bessern die Schwachstelle aus. Das Update ist seit dem 18. November verfügbar.

Wordpress-Admins sollten sicherstellen, dass die jüngste Version von WPForms in ihrer Wordpress-Instanz installiert ist, empfiehlt Wordfence. Die IT-Forscher erörtern im Blog-Beitrag zudem den Fehler im Quelltext detaillierter.

Lesen Sie auch

Wordpress-Plug-in Anti-Spam by Cleantalk gefährdet 200.000 Seiten

Wordpress-Plug-ins sorgen immer wieder dafür, dass Wordpress-Instanzen angreifbar werden. Ende November wurde etwa bekannt, dass im Wordpress-Plug-in Anti-Spam by Cleantalk zwei kritische Sicherheitslücken klaffen. Angreifer aus dem Netz konnten dadurch ohne vorherige Authentifizierung verwundbare Instanzen vollständig kompromittieren. Das Plug-in kommt auf mehr als 200.000 Webseiten zum Einsatz.

(dmk)