Kritische Sicherheitslücke in WordPress-Plugin Forminator

23.04.2024 - Warnmeldung

Eine kritische Schwachstelle im WordPress-Plugin Forminator ermöglicht DoS-Angriffe und unberechtigte Dateizugriffe innerhalb von WordPress-Instanzen. Der Hersteller stellt Updates bereit.

Über 300.000 WordPress-Instanzen noch verwundbar

Die Nachrichtenseite Bleepingcomputer berichtet über Schwachstellen im WordPress-Plugin Forminator, mit dem Nutzende Formulare erstellen können. Die Sicherheitslücken haben folgende CVE-Nummern:

CVE-2024-28890
CVE-2024-31077
CVE-2024-31857

Von den Schwachstellen ist CVE-2024-28890 mit einem CVSS-Score von 9.8 als kritisch eingestuft. Über CVE-2024-28890 können Angreifende DoS-Angriffe durchführen, auf Dateien innerhalb einer WordPress-Instanz zugreifen und Website-Inhalte ändern.

Der Plugin-Entwickler WPMU DEV stellt die Forminator-Version 1.29.3 bereit, die die genannten Schwachstellen behebt. Nutzende des Plugins sollten die neuste Version umgehend installieren. Bisher wurden ca. 180.000 von 500.000 aktiven Forminator-Instanzen gepatcht und ca. 320.000 sind nach wie vor über die genannten Schwachstellen verwundbar.

Den Link zur Forminator-Version 1.29.3 finden Sie unter:

Download-Seite der neusten Forminator-Version 1.29.3 (engl.)

Weitere Informationen

Details zu CVE-2024-28890 und den anderen Schwachstellen in Forminator (engl.)