Eine gravierende Sicherheitslücke im weit verbreiteten WordPress-Plugin Forminator, das auf über 500.000 Websites zum Einsatz kommt, ermöglicht es Angreifern, unbegrenzt Dateien auf den Server hochzuladen und potenziell Schadsoftware zu installieren.
Forminator, entwickelt von WPMU DEV, ist ein flexibles Tool für das Erstellen von Kontaktformularen, Feedbackbögen, Quizzen, Umfragen und Zahlungsformularen mittels einer einfachen Drag-and-Drop-Funktion. Das Plugin integriert sich zudem umfassend in Drittanbieterdienste.
Das japanische Computer Emergency Response Team (CERT) hat am Donnerstag in seinen Vulnerability Notes (JVN) vor einer kritischen Schwachstelle gewarnt, die es einem entfernten Angreifer ermöglicht, Malware auf Seiten, die das Plugin nutzen, hochzuladen (CVE-2024-28890, CVSS v3: 9.8).
Drei Schwachstellen gefährden WordPress-Seiten:
- CVE-2024-28890: Diese Lücke erlaubt das Hochladen und Ausführen von schädlichen Dateien aufgrund unzureichender Validierung von Datei-Uploads. Betroffen sind alle Forminator-Versionen bis einschließlich 1.29.0.
- CVE-2024-31077: Eine SQL-Injection-Schwachstelle ermöglicht es Angreifern mit Admin-Rechten, willkürliche SQL-Befehle in der Datenbank der Seite auszuführen. Betroffen sind Versionen bis 1.29.3.
- CVE-2024-31857: Eine Cross-Site Scripting (XSS) Schwachstelle, die es Angreifern ermöglicht, willkürlich HTML und Script-Code im Browser des Nutzers auszuführen, wenn dieser auf einen speziell präparierten Link klickt. Betroffen sind Versionen bis 1.15.4.
Administratoren, die Forminator nutzen, sollten umgehend auf die neueste Plugin-Version 1.29.3 aktualisieren, die alle genannten Schwachstellen behebt. Laut WordPress.org haben seit dem Sicherheitsupdate am 8. April 2024 etwa 180.000 Admins das Plugin heruntergeladen. Es bleibt jedoch eine hohe Anzahl von etwa 320.000 Seiten, die weiterhin gefährdet sind.
Bislang gibt es keine öffentlichen Berichte über eine aktive Ausnutzung der CVE-2024-28890, doch aufgrund der Schwere der Schwachstelle und der einfachen Ausnutzbarkeit besteht ein hohes Risiko für Administratoren, die das Update verzögern.
Um die Sicherheitsrisiken auf WordPress-Seiten zu minimieren, sollten möglichst wenige Plugins verwendet, stets aktuelle Versionen installiert und nicht benötigte Plugins deaktiviert werden.