Auf mehr als 600.000 Installationen kommt das WordPress-Plug-in Forminator. IT-Sicherheitsforscher haben darin eine Schwachstelle entdeckt, durch die Angreifer am Ende verwundbare Instanzen vollständig übernehmen können. Ein Update zum Schließen der Lücke steht jedoch schon bereit.
Die IT-Forscher von Wordfence warnen in einem Blog-Beitrag vor der Sicherheitslücke. Durch die Schwachstelle im WordPress-Plug-in Forminator können nicht authentifizierte Angreifer beliebige Dateipfade in einer Formular-Übermittlung angeben, wodurch Forminator die spezifizierte Datei löscht, sofern die Übermittlung gelöscht wird. Dadurch können sie etwa die "wp-config.php" löschen und in der Folge unter Umständen Schadcode ausführen (CVE-2025-6463 / noch kein EUVD, CVSS 8.8, Risiko "hoch").
Detaillierte Angaben zur Schwachstelle
Die Funktion "entry_delete_upload_files" prüft übergebene Pfadangaben nicht ausreichend. Nicht angemeldete bösartige Akteure können beliebige Dateipfade in einer Formular-Übermittlung angeben, die Datei wird dann beim Löschen des übermittelten Formulars entfernt. Das kann von WordPress-Admins angestoßen werden oder automatisch nach Vorgabe in den Plug-in-Einstellungen – Wordfence erläutert nicht, was dort standardmäßig eingestellt ist.
Das Löschen etwa der "wp-config.php" versetzt die WordPress-Instanz in den Setup-Status, wodurch Angreifer sie vollständig übernehmen können, sofern sie sie an eine Datenbank unter ihrer Kontrolle anbinden. Dadurch können bösartige Akteure auch beliebigen Code ausführen. In ihrer Analyse gehen die IT-Forscher noch weiter in die Quelltextstellen und erörtern das Problem tiefergehend.
"Auch wenn diese Schwachstelle zum Ausnutzen einen Schritt passiver oder aktiver Interaktion erfordert, gehen wir davon aus, dass das Löschen von Formularen eine sehr wahrscheinliche auftretende Situation ist, vor allem, wenn sie sehr nach Spam aussehen", schreiben die Analysten. Das mache die Sicherheitslücke zu einem begehrten Ziel für Angreifer. Wordfence empfiehlt Betroffenen, so schnell wie möglich sicherzustellen, dass die eigenen WordPress-Instanzen bereits auf dem aktualisierten Stand sind. Verwundbar ist Forminator bis Version 1.44.2, die Fehlerkorrektur bringt Version1.44.3 vom Montag dieser Woche oder neuer.
Mitte Juni wurde eine Schwachstelle im WordPress-Plug-in AI Engine bekannt. Es kommt auf mehr als 100.000 Webseiten zum Einsatz und ermöglichte aufgrund der Sicherheitslücke die vollständige Kompromittierung betroffener WordPress-Instanzen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare