Im Wordpress-Plug-in Ninja Forms wurde eine kritische Sicherheitslücke gefunden, so ein
Bericht von "Bleeping Computer". Laut dem Bericht betrifft die Schwachstelle alle Versionen ab 3.0 des Plug-ins. Beim Leck soll es sich um eine Code-Injection-Schwachstelle handeln, die es einem Angreifer erlaubt, Code auszuführen und unter dem Strich die gesamte Website zu übernehmen. Die Schwachstelle hat mittlerweile einen CSV Score von 9.8 bekommen, womit das Risiko als kritisch bewertet wird.
Aufgedeckt wurde der Bug vom auf Wordpress-Security spezialisierten Unternehmen
Wordfence. Die Forscher haben offenbar bereits Hinweise gefunden, wonach die Schwachstelle bereits für Angriffe ausgenutzt wird.
Angesichts der über einer Millionen Installationen von Ninja Forms und der Bedrohungslage, hat man sich offenbar dafür entschieden das Update des Plug-ins auf die Version 3.6.11 automatisch ohne Zustimmung der Benutzer einzuspielen. Alternativ kann das Plug-in auch auf der
Hersteller-Website heruntergeladen und manuell installiert werden.
(rd)
