Im WordPress Plug-In Ultimate Form Builder Lite (ermöglicht das Erstellen eines Kontaktformulars für Blogs) klafft eine Zero-Day-Lücke, die bereits für Angriffe ausgenutzt wird.
Die Information kommt von WordFence, denen kürzlich aufgefallen ist, dass das WordPress Plug-In Ultimate Form Builder Lite aktiv über eine bekannte Schwachstelle angegriffen wird. Das Contact Form for WordPress – Ultimate Form Builder Lite Plugin wird von AccessPress Themes gepflegt und hat um die 50.000 aktive Installationen (laut WordPress.org).
In älteren Versionen des Plugins gibt es einen Object Insertion-Schwachstelle, die für Angriffe ausgenutzt wird. Die Sicherheitslücke wurde von WordFence entdeckt und hier beschrieben. Nun ist ein Exploit aufgetaucht der eine SQL-Injection-Schwachstelle mit einer PHP-Objektinjektionsschwachstelle kombiniert. Es erlaubt Angreifern, eine verwundbare Seite zu übernehmen, indem sie nur eine Anfrage an /wp-admin/admin-ajax.php stellen.
Der Autor des Plugins hat die Sicherheitslücke des Plugins in der Version 1.3.7 behoben. WordFence hat zudem die eigene Firewall um entsprechende Regeln ergänzt, um WordPress-Installationen vor solchen Angriffen zu schützen.
MVP: 2013 – 2016
