In dem von WPMU DEV bereitgestellten WordPress Plugin Forminator wurden mehrere schwerwiegende Sicherheitslücken identifiziert, die von Hibiki Moriyama von STNet Incorporated gemeldet wurden. Die JPCERT/CC hat in Koordination mit dem Entwickler im Rahmen der Partnerschaft für frühzeitige Sicherheitswarnungen reagiert. Die Schwachstellen umfassen dabei
- Unbeschränkter Upload von Dateien mit gefährlichem Typ (CWE-434)
- SQL-Injection (CWE-89)
- Cross-Site Scripting (CWE-79)
Die betroffenen Versionen von Forminator vor 1.29.3. Die Lücken weisen verschiedene Risikostufen auf, von denen die schwerste (CVE-2024-28890) mit einem kritischen CVSS V3 Basis-Score von 9.8 bewertet wird. Diese Schwachstelle könnte es einem Angreifer ermöglichen, Zugang zu sensiblen Dateiinhalten zu erhalten, die Darstellung der Website zu verändern und einen Denial-of-Service (DoS) Zustand herbeizuführen.
Anwender des Plugins werden dringend dazu aufgefordert, auf die neueste Version zu aktualisieren, um sich vor diesen Bedrohungen zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: