Eine SQL Injection Sicherheitslücke wurde im populären WordPress-Plugin „Email Subscribers“ von Icegram Express gefunden, das für E-Mail-Marketing, Newsletter und Marketingautomatisierung auf WordPress- und WooCommerce-Seiten verwendet wird. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, SQL-Injections durchzuführen.
Laut Wordfence sind alle Versionen des Plugins bis einschließlich Version 5.7.14 anfällig für SQL-Injection-Angriffe anfällig. Die Lücke befindet sich in der run
-Funktion der Klasse IG_ES_Subscribers_Query
. Angreifer können durch eine unzureichende Maskierung von Benutzereingaben und mangelhafte Vorbereitung der SQL-Abfragen zusätzliche SQL-Befehle in vorhandene Abfragen einschleusen. Diese könnten dazu verwendet werden, sensible Daten aus der Datenbank zu extrahieren.
Das Common Vulnerability Scoring System (CVSS) hat dieser Sicherheitslücke eine kritische Bewertung von 9.8 zugeordnet. Dies spiegelt das hohe Risiko wider, das von der Schwachstelle ausgeht, insbesondere weil sie von jedem ohne Authentifizierung ausgenutzt werden kann. Die betroffenen Komponenten sind:
- Vertraulichkeit (C): Hoch
- Integrität (I): Hoch
- Verfügbarkeit (A): Hoch
Icegram Express hat in Version 5.7.15 des Plugins einen Patch bereitgestellt, der die Sicherheitslücke schließt. Es wird dringend empfohlen, dass alle Nutzer des Plugins so schnell wie möglich auf die neueste Version aktualisieren, um sich vor möglichen Angriffen zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: