WordPress aktualisiert mehr als eine Million Websites, um eine kritische Ninja Forms-Schwachstelle zu beheben

  • Der Content-Management-System (CMS)-Anbieter WordPress hat mehr als eine Million Websites zwangsweise aktualisiert, um eine kritische Sicherheitslücke zu schließen, die das Ninja Forms Plugin betrifft.

    Die Schwachstelle wurde im Juni vom Wordfence Threat Intelligence Team entdeckt und am Donnerstag in einem Advisory des Unternehmens dokumentiert.

    In dem Dokument erklärte Wordfence, dass die Code-Injektionsschwachstelle es nicht authentifizierten Angreifern ermöglichte, eine begrenzte Anzahl von Methoden in verschiedenen Ninja Forms-Klassen aufzurufen, darunter eine, die zu einer Object Injection führte.

    „Wir haben festgestellt, dass dies aufgrund der verschiedenen Klassen und Funktionen, die das Ninja Forms Plugin enthält, zu einer Vielzahl von Exploit-Ketten führen kann“, heißt es in dem Beitrag.

    „Eine potenziell kritische Exploit-Kette beinhaltet insbesondere die Verwendung der Klasse NF_Admin_Processes_ImportForm, um eine Remote-Code-Ausführung über Deserialisierung zu erreichen, wobei allerdings ein anderes Plugin oder Theme auf der Website mit einem verwendbaren Gadget installiert sein müsste.“

    Die Forscher sagten auch, dass es Anzeichen dafür gibt, dass die Sicherheitslücke aktiv ausgenutzt wird.

    „Daher warnen wir unsere Nutzer umgehend vor dieser Sicherheitslücke.“

    Nach Bekanntwerden des Problems hat WordPress einen Patch veröffentlicht, der automatisch auf Websites mit den folgenden Versionen des Plugins angewendet wurde: 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11.

    „Dennoch empfehlen wir dringend, dass Sie Ihre Website so bald wie möglich auf eine der gepatchten Versionen aktualisieren, da automatische Updates nicht immer erfolgreich sind“, warnte Wordfence.

    Das Unternehmen kündigte außerdem an, den Text des Hinweises zu aktualisieren, sobald es mehr über die Exploit-Ketten erfährt, mit denen Angreifer diese Sicherheitslücke ausnutzen.

    Ninja Forms ist nicht das erste beliebte WordPress-Plugin, bei dem in diesem Jahr eine kritische Sicherheitslücke gefunden wurde. Bereits im Februar fanden Forscher einen Fehler in UpDraft Plus, der mehr als drei Millionen Websites betraf.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com