Das weitverbreitete WordPress-Plugin “Ninja Forms” steht derzeit im Fokus der Sicherheitsgemeinschaft, nachdem Sicherheitsforscher von Patchstack mehrere schwerwiegende Schwachstellen entdeckt haben. Die Lücken könnten es Angreifern ermöglichen, sensible Daten abzurufen und sogar die Rechte privilegierter Nutzer zu übernehmen. Mit über 800.000 aktiven Installationen zählt das Plugin zu den beliebtesten Formulargeneratoren für WordPress-Websites. Entwickelt von Saturday Drive, ermöglicht es Ninja Forms Website-Administratoren, problemlos verschiedene Formulare zu erstellen, angefangen bei einfachen Kontaktformularen bis hin zu komplexen Event-Registrierungen und Dateiuploads.

Die entdeckten Sicherheitslücken:

 

  1. Reflected XSS: Die erste Schwachstelle betrifft eine POST-basierte reflected XSS-Attacke, die es Angreifern ermöglicht, sensible Informationen abzurufen und sogar eine Privilegien-Eskalation auf der WordPress-Website durchzuführen. Unauthentifizierte Angreifer könnten privilegierte Nutzer dazu bringen, eine präparierte Website zu besuchen und dadurch unbeabsichtigt ihre eigenen Rechte zu übergeben. Das Sicherheitsproblem wurde in Version 3.6.26 behoben und trägt die Kennung CVE-2023-37979. (Quelle: Patchstack)
  2. Authenticated (Subscriber+) Broken Access Control: Die zweite Schwachstelle betrifft eine mangelhafte Zugangskontrolle bei der Funktion “Formularübermittlungen exportieren”. Dadurch könnten Nutzer mit den Rollen “Subscriber” oder “Contributor” uneingeschränkt auf alle Formulareinreichungen einer WordPress-Website zugreifen und diese exportieren. Die Sicherheitsprobleme wurden in Version 3.6.26 behoben und tragen die Kennungen CVE-2023-38393 und CVE-2023-38386. (Quelle: Patchstack)

Schwerwiegende Folgen für Website-Betreiber:

Die entdeckten Sicherheitslücken stellen Website-Betreiber vor eine ernsthafte Bedrohung, da Angreifer sensible Daten abrufen und die Integrität ihrer Websites gefährden könnten. Für Websites, die das Ninja Forms Plugin nutzen, besteht daher dringender Handlungsbedarf, um die Sicherheitslücken zu schließen.

Das Sicherheitsupdate:

Der Entwickler des Ninja Forms Plugins hat prompt reagiert und die Sicherheitslücken in der Version 3.6.26 behoben. Website-Betreiber sollten umgehend auf diese Version oder eine neuere updaten, um ihre Websites zu schützen. Ein rasches Sicherheitsupdate ist der beste Schutz gegen mögliche Angriffe.

Timeline:

  • 22. Juni 2023: Patchstack entdeckt die Sicherheitslücken und informiert den Plugin-Vendor.
    1. Juli 2023: Das Sicherheitsupdate Version 3.6.26 wird veröffentlicht und behebt die gemeldeten Schwachstellen.
    1. Juli 2023: Patchstack fügt die Sicherheitslücken der Patchstack Vulnerability Database hinzu.
    1. Juli 2023: Der öffentliche Sicherheitsbericht wird veröffentlicht.

Die Sicherheitslücken im Ninja Forms Plugin verdeutlichen erneut die Bedeutung regelmäßiger Updates und Sicherheitsüberprüfungen von Plugins und Themes für WordPress-Websites. Website-Betreiber sollten darauf achten, dass alle verwendeten Plugins auf dem neuesten Stand sind, um potenzielle Angriffsvektoren zu minimieren. Für die Zukunft empfiehlt es sich, regelmäßig auf Sicherheitsupdates zu achten und Anbieter wie Patchstack oder ähnliche Dienste zu nutzen, um über neu entdeckte Sicherheitslücken zeitnah informiert zu werden.