Kritische Sicherheitslücken in WordPress Plugin Forminator entdeckt
In dem von WPMU DEV bereitgestellten WordPress Plugin Forminator wurden mehrere schwerwiegende Sicherheitslücken identifiziert, die von Hibiki Moriyama von STNet Incorporated gemeldet wurden. Die JPCERT/CC hat in Koordination mit dem Entwickler im Rahmen der Partnerschaft für frühzeitige Sicherheitswarnungen reagiert. Die Schwachstellen umfassen dabei
- Unbeschränkter Upload von Dateien mit gefährlichem Typ (CWE-434)
- SQL-Injection (CWE-89)
- Cross-Site Scripting (CWE-79)
Die betroffenen Versionen von Forminator vor 1.29.3. Die Lücken weisen verschiedene Risikostufen auf, von denen die schwerste (CVE-2024-28890) mit einem kritischen CVSS V3 Basis-Score von 9.8 bewertet wird. Diese Schwachstelle könnte es einem Angreifer ermöglichen, Zugang zu sensiblen Dateiinhalten zu erhalten, die Darstellung der Website zu verändern und einen Denial-of-Service (DoS) Zustand herbeizuführen.
Anwender des Plugins werden dringend dazu aufgefordert, auf die neueste Version zu aktualisieren, um sich vor diesen Bedrohungen zu schützen.