WordPress.org erzwingt Sicherheitsupdate für kritische Ninja Forms-Schwachstelle – WP Tavern

20. Juni 2022
WordPress.org erzwingt Sicherheitsupdate für kritische Ninja Forms-Schwachstelle - WP Tavern

Ende letzter Woche erhielten Ninja Forms-Nutzer ein erzwungenes Sicherheitsupdate von WordPress.org für eine kritische PHP Object Injection-Schwachstelle. Diese spezielle Sicherheitslücke kann aus der Ferne ohne Authentifizierung ausgenutzt werden. Sie wurde letzte Woche öffentlich bekannt gegeben und in der neuesten Version 3.6.11 gepatcht. Patches wurden auch in die Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2 und 3.5.8.4 zurückportiert.

Wordfence hat ein rückportiertes Sicherheitsupdate im Form Builder Plugin entdeckt, das mehr als eine Million aktive Installationen hat. Die Bedrohungsanalystin Chloe Chamberland erklärte die Sicherheitslücke in einem Hinweis der die Nutzer des Unternehmens warnt:

Wir haben eine Code-Injection-Schwachstelle entdeckt, die es nicht authentifizierten Angreifern ermöglicht, eine begrenzte Anzahl von Methoden in verschiedenen Ninja Forms-Klassen aufzurufen, darunter eine Methode, die vom Benutzer bereitgestellte Inhalte unserialisiert, was zu einer Object Injection führt. Dies könnte es Angreifern ermöglichen, beliebigen Code auszuführen oder beliebige Dateien auf Websites zu löschen, auf denen eine separate POP-Kette vorhanden war.

Die Schwachstelle betrifft die "Merge Tags"-Funktion von Ninja Forms, die automatisch Werte aus z. B. Post-IDs und Benutzernamen einfügt. Der Wordfence-Bedrohungsanalyst Ramuel Gall hat die Patches der Schwachstelle zurückentwickelt, um einen funktionierenden Proof of Concept zu erstellen. Er fand heraus, dass es möglich ist, verschiedene Ninja Forms-Klassen aufzurufen, die für eine Vielzahl von Exploits genutzt werden können, einschließlich der kompletten Übernahme einer Website. Chamberland berichtet, dass es Hinweise darauf gibt, dass die Sicherheitslücke aktiv ausgenutzt wird.

Die erzwungenen Sicherheitsupdates von WordPress.org sind eine Maßnahme zur Schadensbegrenzung, die in seltenen Fällen eingesetzt wird, wenn die Sicherheitslücke besonders schwerwiegend ist und eine große Anzahl von Nutzern betrifft. Mehr als 680.000 Websites wurden am 14. Juni aktualisiert. Diese PHP-Objektinjektionsschwachstelle wird im Common Vulnerability Scoring System mit 9,8 bewertet, hat aber noch keine CVE-ID erhalten.

Überprüfung von vorherige CVE-IDs für Ninja Forms ist dies die schwerwiegendste Sicherheitslücke in der Geschichte des Plugins. Das Changelog von Ninja Forms gibt keine Auskunft über die Schwere der Bedrohung, sondern stuft sie als "Sicherheitsverbesserung" ein:"

3.6.11 (14. JUNI 2022)

Erweiterungen der Sicherheit
* Strengere Sanitisierung von Merge-Tag-Werten

Ninja Forms hat das Sicherheitsupdate weder in seinem Blog noch auf seinen Social Media-Konten veröffentlicht. Wordfence plant, den Text des Sicherheitsupdates Hinweises da das Unternehmen mehr darüber erfährt, wie Angreifer die Sicherheitslücke ausnutzen. Nutzer von Ninja Forms sollten ihre Websites überprüfen, um sicherzustellen, dass das automatische Sicherheitsupdate durchgeführt wurde. Dieses Update kommt nur eine Woche nachdem Ninja Forms gepatcht wurde. am 7. Juni eine weniger schwerwiegende, authentifiziert gespeicherte Cross-Site-Scripting (XSS)-Schwachstelle.

Quelle


Dieser Artikel ist im Original von wptavern.com und wurde übersetzt
https://wptavern.com/wordpress-org-forces-security-update-for-critical-ninja-forms-vulnerability

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung