[English]Im WordPress Plugin Ninja Forms gibt es eine neue Sicherheitslücke, die alle Versionen bis 3.6.3 betrifft. Über die Schwachstelle ist potentiell eine SQL-Injektion möglich, so dass Datenbankabfragen über Eingabefelder denkbar sind. Der Plugin-Anbieter hat vor 2 Tagen die Version 3.6.4 freigegeben.
Anzeige
Das Ninja Forms-Plugin ermöglicht Formulare in WordPress-Seiten zu gestalten und kommt auf über 1 Million aktive Installationen. Allerdings fällt mir das Plugin durch häufige Schwachstellen auf, erst am 22. September 2021 hatte WordFence hier über eine Schwachstelle berichtet. Jetzt wurde eine weitere Schwachstelle mit der Version 3.6.4 beseitigt, wobei keine wirklichen Details verraten wurden.
Ich bin über obigen Tweet von heise auf das Thema gestoßen. Details hat heise in diesem Beitrag veröffentlicht, ein zweiter englischsprachiger Beitrag ist hier abrufbar (gelöscht). Wer auf das Plugin setzt (ich selbst verwende dieses Plugin nicht), sollte dieses zeitnah auf die Version 3.6.4 aktualisieren.
Anzeige
