SQL Injection-Sicherheitslücke in Ninja Forms

Das Ninja Forms Plugin für WordPress weist eine kritische SQL Injection-Sicherheitslücke auf. Darauf weist der Sicherheitsanbieter Sucuri hin.

Die Lücke wurde wohl bei Audits der Sururi-Firewall entdeckt. Für einen Angriff muss der Betreffende aber ein Konto auf der betreffenden WordPress-Installation haben. Dann kann, unabhängig von den Privilegien dieses Kontos ein SQL-Injection-Angriff durchgeführt werden. Grund ist, dass das Plugin die SQL-Abfragen samt Shortcodes kein Parameter-Escape vornimmt, bevor dei SQL-Abfragen ausgeführt werden.

Das Plugin ist bei mehr als 600.000 Nutzern in Gebrauch. Eine aktualisierte Version 2.9.55.2 des Plugins ist verfügbar. Weitere Informationen zur Sicherheitslücke finden sich im Sucuri-Blog.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.