Im WordPress-Plug-in Ninja Forms haben die Entwickler eine nicht näher bezeichnete Sicherheitslücke mit einem am Dienstag dieser Woche veröffentlichten Update behoben. Laut Changelog haben sie eine „strengere Parameterüberprüfung“ bestimmter Eingabeparameter eingebaut. Das Plug-in Ninja Forms ist sehr beliebt: Mit über einer Million aktiver Installationen gehört es zu den meist installierten Erweiterungen der Blogsoftware. Die harmlos anmutende Aktualisierung hat es jedoch in sich. Wie der auf WordPress-Sicherheit spezialisierte Dienstleister Wordfence durch Reverse Engineering herausfand, beheben die Ninja-Forms-Autoren mit ihr eine Sicherheitslücke, die von Angreifern zur Ausführung beliebigen Codes genutzt werden kann. In einem Blogeintrag beschreiben die Sicherheitsexperten die Lücke als Möglichkeit zum Einschleusen eigener Objekte. Mithilfe der Klassenmethoden von Ninja Forms und anderer vorhandener Plug-ins können Angreifer sich unter Umständen eine „POP Chain“ zusammenstellen und Schadcode ausführen. Die Sicherheitslücke wird nach Einschätzung von Wordfence bereits aktiv ausgenutzt und mit einem CVSS-Score von 9.8 (kritisch) bewertet. Administratoren von WordPress-Sites sollten unverzüglich prüfen, ob das Plug-in bereits automatisch auf den neuesten Stand gebracht wurde und gegebenenfalls manuell ein Update anstoßen. In den Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11 ist der Fehler behoben.