Die National Vulnerability Database (NVD) der US-Regierung hat eine Warnung zu einer Sicherheitslücke im WordPress-Plugin Metform Elementor Contact Form Builder herausgegeben, durch die vertrauliche Informationen preisgegeben werden könnten.
Metform Elementor Kontaktformular-Builder für WordPress
Der Metform Elementor Contact Form Builder ist ein Drittanbieter-Add-on zum beliebten Elementor Page Builder-Plugin mit über 200.000 Installationen.
Es bietet eine Drag-and-Drop-Oberfläche, die das Erstellen von Kontaktformularen, einschließlich mehrstufiger Formulare, vereinfacht.
Mit dem Metform-Kontaktformular-Builder-WordPress-Plugin für Elementor können Anfänger ohne Programmierkenntnisse Umfrageformulare, Kontaktformulare und Empfehlungs-Feedback-Formulare erstellen und ein Formular speichern, sodass ein Benutzer zum Formular zurückkehren kann, wenn er die Internetverbindung verliert und wieder wiederherstellt.
Laut dem offiziellen WordPress-Plugin-Repository:
„MetForm, der Drag-and-Drop-Builder für WordPress-Kontaktformulare, ist ein Add-on für Elementor. Erstellen Sie mit seiner Drag-and-Drop-Flexibilität im Handumdrehen jedes schnelle und sichere Kontaktformular.
Es kann mehrere Kontaktformulare verwalten und Sie können das mehrstufige Formular mit einem Elementor-Builder anpassen.“
Sicherheitslücke bei der Offenlegung von Informationen
Die Sicherheitslücke ermöglicht es einem Angreifer, an vertrauliche Informationen zu gelangen.
Diese Schwachstelle wird vom NVD als Bedrohung mittlerer Stufe eingestuft, da sie erfordert, dass ein Angreifer eine Benutzerrolle auf Abonnentenebene oder höher erlangt.
Eine Benutzerrolle auf Abonnentenebene stellt eine relativ niedrige Hürde für die Aktivierung des Exploits dar, da sie einfacher zu erhalten ist als eine Benutzerrolle auf Administrator- oder Editorebene.
Ein Angreifer muss lediglich eine Website abonnieren, um einen Angriff starten zu können.
Auf der Website von Elementor wird die Rolle des Abonnentenbenutzers beschrieben:
„Ein WordPress-Abonnent ist ein Website-Benutzer, der nur sein Profil bearbeiten, Beiträge lesen und Kommentare hinterlassen kann.
WordPress verwendet das Konzept von „Rollen“, um es einem Websitebesitzer zu ermöglichen, zu steuern und zu verwalten, welche Aufgaben (Fähigkeiten) Benutzer innerhalb der Website ausführen oder nicht ausführen können.
Ein Abonnent ist die niedrigste Ebene der Benutzerrolle mit den wenigsten Berechtigungen.“
Somit kann ein Angreifer mit der niedrigsten Benutzerrolle beginnen, die Site zu hacken.
Der NVD beschreibt die Bedrohung:
„Der Metform Elementor Contact Form Builder für WordPress ist in Versionen bis einschließlich 3.3.1 anfällig für die Offenlegung von Informationen über den Shortcode „mf_first_name“.
Dadurch können authentifizierte Angreifer mit Fähigkeiten auf Abonnentenebene oder höher vertrauliche Informationen über Übermittlungen in beliebiger Form erhalten, einschließlich des Vornamens des Absenders.“
Aktualisieren Sie das Plugin, um die Angriffsgefahr zu mindern
Diese Sicherheitslücke betrifft Metform Elementor Contact Form Builder-Plugin-Versionen bis einschließlich 3.3.1.
Die aktuellste Version des Plugins ist 3.4.0.
Metform Elementor Contact Form Builder Version 3.3.2 ist die Version, die die Schwachstelle behoben hat.
Laut dem offiziellen Änderungsprotokoll des Metform Elementor Contact Form Builder:
„Version 3.3.2
…Verbessert: Sicherheit, Nonce und Berechtigungsprüfung.“
Lesen Sie die offizielle NVD-Beratung:
CVE-2023-0689 Detail
Ausgewähltes Bild von Shutterstock/pedrorsfernandes