Es wurde eine Sicherheitslücke entdeckt WPFormsein WordPress-Plugin, das von mehr als sechs Millionen Websites verwendet wird. Wie unsere Kollegen von Bleeping Computer berichten, wurde der Verstoß Ende Oktober von einem Sicherheitsforscher entdeckt, der sich selbst villu164 nennt. Der Forscher benachrichtigte daraufhin das WordFence-Team, ein Sicherheits-Plugin für WordPress. Als Gegenleistung für seine Entdeckung erhielt er wenige Tage später ein Kopfgeld von 2.376 Dollar.
Lesen Sie auch: Die Daten von 125 Millionen Internetnutzern wurden von 900 Websites offengelegt
Nicht autorisierte Rückerstattungen
Das Plugin ist als kostenpflichtige oder kostenlose Version mit Einschränkungen verfügbar und ermöglicht Ihnen eine einfache Erstellung personalisierte Formulare für WordPress-Seiten. Es ist möglich, Kontaktformulare, Feedbackformulare, Abonnementformulare und Zahlungsformulare zu gestalten. Es ist mit mehreren Online-Zahlungsmanagern kompatibel, darunter PayPal und Stripe.
Durch die Ausnutzung des Fehlers ist es wahrscheinlich, dass ein Internetnutzer dies tuteine Rückerstattung über Stripe veranlassen ohne Zustimmung der Site-Administratoren. De facto kann ein Verbraucher in einem Online-Shop eine Rückerstattung erhalten, nachdem er eine Bestellung aufgegeben hat.
„Diese Schwachstelle ermöglicht es authentifizierten böswilligen Benutzern mit Abonnentenrechten oder höher, Stripe-Zahlungen zurückzuerstatten und Stripe-Abonnements zu kündigen, auch wenn sie nicht über diese Art von Autorisierung verfügen sollten.“unterstreicht WordFence in seinem Bericht.
Darüber hinaus kann der Benutzer ein Abonnement kündigen willkürlich. Dies ist natürlich für alle Website-Besitzer dramatisch. Die Sicherheitslücke gefährdet tatsächlich ihr Einkommen.
Die Fehlfunktion liegt in einer Funktion, die prüfen soll, ob eine Anfrage von einer Seite oder einem administrativen Pfad (zum Beispiel dem WordPress-Dashboard) kommt. Allerdings werden die Berechtigungen des anfragenden Benutzers nicht überprüft. Mit anderen Worten: Es stellt nicht sicher, dass der Benutzer, der die Anfrage stellt, über die erforderlichen Rechte verfügt, um auf diese Daten oder diese Aktionen zuzugreifen. Letztendlich kann jeder Benutzer Befehle erteilen, die Administratoren vorbehalten sind.
Ein Fix wurde bereitgestellt
Betroffen sind die Versionen 1.8.4 und bis 1.9.2.1 des Plugins. Um die Situation zu korrigieren, haben die Entwickler von Awesome Motive, der Gruppe hinter WPForms, einen Fix in das integriert Plugin-Update 1.9.2.2.
WordFence ermutigt „Angesichts der kritischen Natur dieser Sicherheitslücke müssen WordPress-Benutzer so schnell wie möglich überprüfen, ob ihre Websites mit der neuesten gepatchten Version von WPForms aktualisiert sind.“. Laut WordPress-Statistiken sind immer noch mehr als drei Millionen Websites anfällig.
Dies ist bei weitem nicht das erste Mal, dass ein Fehler in einem beliebten WordPress-Plugin Millionen von Websites gefährdet. Letzten Monat ermöglichte eine Schwachstelle in Really Simple Security, einem sicherheitsorientierten WordPress-Plugin, einem Remote-Angreifer, vollständigen Administratorzugriff auf mehr als 4 Millionen Websites zu erhalten. Einige Monate zuvor führte eine Schwachstelle im Popup Builder-Plugin sogar dazu, dass Tausende von Websites gehackt wurden.
???? Um keine Neuigkeiten von 01net zu verpassen, folgen Sie uns auf Google News und WhatsApp.
Quelle :
Piepender Computer
