Das Ninja Forms Plugin für WordPress weist eine kritische SQL Injection-Sicherheitslücke auf. Darauf weist der Sicherheitsanbieter Sucuri hin.
Die Lücke wurde wohl bei Audits der Sururi-Firewall entdeckt. Für einen Angriff muss der Betreffende aber ein Konto auf der betreffenden WordPress-Installation haben. Dann kann, unabhängig von den Privilegien dieses Kontos ein SQL-Injection-Angriff durchgeführt werden. Grund ist, dass das Plugin die SQL-Abfragen samt Shortcodes kein Parameter-Escape vornimmt, bevor dei SQL-Abfragen ausgeführt werden.
Das Plugin ist bei mehr als 600.000 Nutzern in Gebrauch. Eine aktualisierte Version 2.9.55.2 des Plugins ist verfügbar. Weitere Informationen zur Sicherheitslücke finden sich im Sucuri-Blog.
Anzeige