Wordpress WpForms: Subscriber User können durch Lücke Abonnements kündigen

Am 9. Dezember 2024 wurde eine kritische Sicherheitslücke im WordPress-Plugin WPForms (Versionen 1.8.4 bis 1.9.2.1) veröffentlicht. Die Schwachstelle (CVE-2024-11205) ermöglicht es authentifizierten Angreifern mit Zugriffsrechten ab der Benutzerrolle „Subscriber“, Zahlungen zurückzuerstatten und Abonnements zu kündigen. Grund dafür ist eine fehlende Überprüfung der Berechtigungen in der Funktion wpforms_is_admin_page.

Es wird dringend empfohlen, das Plugin auf die Version 1.9.2.2 oder eine neuere gepatchte Version zu aktualisieren, um diese Schwachstelle zu beheben.

Weitere Informationen und die vollständige Analyse finden Sie in der Wordfence Vulnerability Database.

Related Posts

Cisco warnt erneut vor Exploits einer 10 Jahre alten Sicherheitslücke in ASA WebVPN Login

Cisco hat kürzlich eine erneute Warnung zu einer seit 2014 bekannten Sicherheitslücke in seiner Adaptive Security Appliance (ASA) veröffentlicht. Diese Schwachstelle betrifft die WebVPN-Login-Seite und ermöglicht es einem unauthentifizierten, entfernten Angreifer, ein Cross-Site-Scripting (XSS)-Angriff durchzuführen. Der Angreifer könnte dies ausnutzen, indem er ein Opfer dazu bringt, einen schädlichen Link zu öffnen.

Read More

Kritische Schwachstellen in HPE Aruba Networking ClearPass Policy Manager entdeckt

Hewlett Packard Enterprise (HPE) hat am 3. Dezember 2024 mehrere schwerwiegende Sicherheitslücken in der ClearPass Policy Manager-Software gemeldet. Diese Schwachstellen ermöglichen Angreifern unter anderem Remote Code Execution (RCE), die Ausführung beliebiger Befehle und Cross-Site Scripting (XSS). Betroffen sind Versionen bis 6.12.2 und 6.11.9 sowie alle älteren Builds.

Read More

SonicWall Security Update: Buffer Overflow und Path Traversal Schwachstellen gefunden

Am 3. Dezember 2024 hat SonicWall ein umfassendes Sicherheitsbulletin veröffentlicht, das mehrere kritische Schwachstellen in den SSL-VPN-Produkten der SMA 100-Serie beschreibt. Diese Sicherheitslücken, die von Path Traversal bis hin zu Pufferüberläufen reichen, könnten von Angreifern ausgenutzt werden, um sensible Informationen zu kompromittieren, Code auszuführen oder Authentifizierungsmechanismen zu umgehen. Die betroffenen Versionen reichen bis einschließlich 10.2.1.13-72sv, und SonicWall rät dringend zu einem Upgrade auf die neueste Version 10.2.1.14-75sv oder höher.

Read More