Das betroffene Plugin: Ninja Forms
Ninja-Forms für WordPress ist ein Formular Plugin welches sich großer Beliebtheit erfreut. Im Baukasten System können damit leicht auch komplexe Formulare erstellt werden. Auch lassen sich damit einfache Zahlungsabläufe wie z.B. Spenden per PayPay, Kreditkarte oder Stripe abwickeln.
Das Plugin zählt mit aktuell über 1.000.000 aktiven Nutzern zu den bekannteren Formular Erweiterungen.
Gleich mehrere Sicherheitslücken bekannt geworden
Open Redirect, Connection Key Disclosure und CSRF, so die Namen der Schwachstellen, die dazu führen können das Administratoren auf beliebige Seiten umgeleitet werden, was auch Phishing Angriffe möglich macht.
Außerdem konnten einfache Abonenten ein Plugin einschleusen und damit alle Nachrichten abfangen oder das Trennen der OAuth-Verbindung hervorrufen.
Was ist jetzt zu tun?
Das Plugin sollte umgehend auf die neueste Version (3.4.34) aktualisiert werden.
Bei all unseren Kunden auf deren Webseiten Ninja Forms installiert war ist dies selbstverständlich längst geschehen. Kostenfrei und unkompliziert.
Leave a Reply