SQL Injection-Sicherheitslücke in Ninja Forms

Veröffentlicht am 17. August 2016 von Günter Born

Das Ninja Forms Plugin für WordPress weist eine kritische SQL Injection-Sicherheitslücke auf. Darauf weist der Sicherheitsanbieter Sucuri hin.

Die Lücke wurde wohl bei Audits der Sururi-Firewall entdeckt. Für einen Angriff muss der Betreffende aber ein Konto auf der betreffenden WordPress-Installation haben. Dann kann, unabhängig von den Privilegien dieses Kontos ein SQL-Injection-Angriff durchgeführt werden. Grund ist, dass das Plugin die SQL-Abfragen samt Shortcodes kein Parameter-Escape vornimmt, bevor dei SQL-Abfragen ausgeführt werden.

Das Plugin ist bei mehr als 600.000 Nutzern in Gebrauch. Eine aktualisierte Version 2.9.55.2 des Plugins ist verfügbar. Weitere Informationen zur Sicherheitslücke finden sich im Sucuri-Blog.

Dieser Beitrag wurde unter WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.