WordPress: Zero-Day-Exploit in Ultimate Form Builder Lite

Publiziert am 24. Oktober 2017 von Günter Born

Im WordPress Plug-In Ultimate Form Builder Lite (ermöglicht das Erstellen eines Kontaktformulars für Blogs) klafft eine Zero-Day-Lücke, die bereits für Angriffe ausgenutzt wird.

Anzeige

Die Information kommt von WordFence, denen kürzlich aufgefallen ist, dass das WordPress Plug-In Ultimate Form Builder Lite aktiv über eine bekannte Schwachstelle angegriffen wird. Das Contact Form for WordPress – Ultimate Form Builder Lite Plugin wird von AccessPress Themes gepflegt und hat um die 50.000 aktive Installationen (laut WordPress.org).

In älteren Versionen des Plugins gibt es einen Object Insertion-Schwachstelle, die für Angriffe ausgenutzt wird. Die Sicherheitslücke wurde von WordFence entdeckt und hier beschrieben. Nun ist ein Exploit aufgetaucht der eine SQL-Injection-Schwachstelle mit einer PHP-Objektinjektionsschwachstelle kombiniert. Es erlaubt Angreifern, eine verwundbare Seite zu übernehmen, indem sie nur eine Anfrage an /wp-admin/admin-ajax.php stellen.

Der Autor des Plugins hat die Sicherheitslücke des Plugins in der Version 1.3.7 behoben. WordFence hat zudem die eigene Firewall um entsprechende Regeln ergänzt, um WordPress-Installationen vor solchen Angriffen zu schützen.

Anzeige
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.