1980371

Sicherheitslücke in WordPress-Plugin

08.08.2014 | 21:46 Uhr |

Forscher haben eine kritische Sicherheitslücke im WordPress-Plugin Custom Contact Forms entdeckt. Nutzer sollten dringend Version 5.1.0.4 installieren.

Forscher der Sicherheitsfirma Sucuri haben in dieser Woche eine kritische Lücke im WordPress -Plugin Custom Contact Forms aufgedeckt. Über die Schwachstelle können Angreifer einen Teil der Datenbank der installierten WordPress-Version auf ihren Rechner laden. Im Anschluss ist es möglich, neue SQL-Queries anzulegen und die Datenbank dann unbemerkt wieder auf den Server zu laden. Die hinzugefügten Queries würden es Angreifern erlauben, sich einen eigenen Admin-Nutzer anzulegen und mit dessen Hilfe die WordPress-Installation ihres ahnungslosen Opfers zu übernehmen. Hierüber wären dann auch beliebige Modifikationen der Datenbank möglich.

Nutzern des Plugins Custom Contact Forms wird dringen geraten, das nun veröffentlichte Sicherheitsupdate zu installieren, um die Lücke zu schließen. Die neueste Version wurde erst herausgegeben, als die Sicherheitsfirma das WordPress-Team kontaktierte. Vom Plugin-Entwickler erfolgte vorher selbst nach mehreren Hinweisen keine Reaktion.

50.000 Webseiten wegen WordPress-Plugin gehackt

Laut Sucuri wurde die Lücke durch einen Programmierfehler verursacht. Der selbe Fehler führte Kürzlich auch zu einem Sicherheitsproblem beim Plugin MailPoet. Alle Custom Contact Forms Versionen bis einschließlich 5.1.0.3 sind nicht mehr sicher.

0 Kommentare zu diesem Artikel
1980371