Connect with us

Datenschutz & Sicherheit

200.000 Webseiten durch Sicherheitsleck in WordPress-Plug-in SureForms gefährdet


Das WordPress-Plug-in SureForms kommt auf mehr als 200.000 aktive Installationen. IT-Sicherheitsforscher haben eine Sicherheitslücke darin entdeckt, die die vollständige Kompromittierung von verwundbaren WordPress-Instanzen ermöglicht. Updates stehen bereit, die die Lücke schließen.

In einem Blog-Beitrag analysieren IT-Forscher von Wordfence die Schwachstelle. Das Plug-in heißt in voller Länge „SureForms – Drag and Drop Form Builder for WordPress“. In der Funktion delete_entry_files() findet keine ausreichende Prüfung von Dateipfaden statt. Dadurch können Angreifer aus dem Netz ohne vorherige Anmeldung beliebige Dateien auf dem Server löschen. Das kann schließlich zur Ausführung beliebigen Codes aus der Ferne führen, wenn bösartige Akteure etwa die „wp-config.php“-Datei löschen und so die WordPress-Instanz in den Setup-Modus versetzen und damit an eine von ihnen kontrollierte Datenbank anschließen (CVE-2025-6691 / EUVD-2025-20783, CVSS 8.1, Risiko „hoch„).

Betroffen ist etwa SureForms 1.7.3. Die Entwickler haben gleich mehrere Versionszweige mit Aktualisierungen versehen. Die Fassungen SureForms 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 und 0.0.14 stehen bereit und stopfen das Sicherheitsleck.

IT-Verantwortliche mit WordPress-Instanzen sollten prüfen, ob die von ihnen betreuten Systeme bereits auf diesen aktualisierten Ständen sind. Gegebenenfalls sollten sie die Aktualisierung rasch anstoßen, um die Angriffsfläche zu minimieren.

Eine ähnliche Sicherheitslücke wurde bereits vergangene Woche in dem WordPress-Plug-in Forminator bekannt. Das Plug-in kommt sogar auf mehr als 600.000 Webseiten zum Einsatz. Auch dort ermöglichte die Lücke Angreifern, die „wp-config.php“ zu löschen und damit in weiterer Folge die komplette Instanz zu übernehmen.


(dmk)



Source link

Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Warn-App: NINA schickt jetzt auch Polizeimeldungen


Die App NINA, die zum Beispiel vor starken Unwettern oder bei Hochwasser warnt, wird ausgebaut. Künftig sollen auch Hinweise auf angedrohte Gewalttaten wie zum Beispiel Bombendrohungen oder Warnungen vor gefährlichen Straftätern auf die Smartphones geschickt werden, kündigte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) an.

Die Polizeibehörden haben bereits in den vergangenen Jahren vereinzelt die App für solche Warnungen und Hinweise zu herausragenden Vorfällen genutzt. Nun wird dieser Polizei-Bereich ausgebaut: Mit dem Update zum Ende der Woche kommt dafür auch ein eigenes Icon in die App.

Außerdem soll die App in Notlagen und bei drohenden Katastrophen dann zuverlässiger Warnmeldungen schicken können, berichtet das BBK. Die Funktionalität und die Technik im Hintergrund wurden so optimiert, dass die Datenmengen verringert werden können, die zur zielgenauen Zustellung von Push-Nachrichten nötig sind. Das helfe bei der Übertragung in Situationen, in denen die Behörden besonders viele Warnmeldungen verschicken müssen.

Die Warn-App NINA ist kostenlos in den gängigen App-Stores erhältlich. Der Name steht für „Notfall-Informations- und Nachrichten-App“.


(afl)



Source link

Weiterlesen

Datenschutz & Sicherheit

Cyberangriff per Telefonkonferenz: Fünf junge Männer unter Verdacht


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Gegen fünf junge Männer aus mehreren Bundesländern wird wegen des Verdachts der Computersabotage ermittelt. Sie sollen über mehrere Wochen lang die Telefone von Polizeidienststellen für jeweils kürzere Zeit blockiert haben. Insgesamt seien seit Anfang des Jahres über 800 Dienststellen in Deutschland und benachbarten Ländern von den Attacken betroffen gewesen, teilte die Polizei in Osnabrück mit. Ende Juni wurden mehrere Wohnungen der Tatverdächtigen durchsucht.

Die fünf Beschuldigten im Alter zwischen 16 und 19 Jahren sollen per Telefonkonferenz die Leitungen der Polizei blockiert haben. Dabei nutzten sie eine Dial-Out-Konferenz, bei der die Teilnehmer sich nicht ins Konferenzsystem einwählen, sondern angerufen werden. Die betroffenen Dienststellen seien wiederholt angerufen worden, was dazu führte, dass die Leitungen für andere Anrufer blockiert wurden. Die Ausfallzeiten hätten zwar nur von wenigen Momenten bis zu 74 Sekunden betragen. Allerdings konnten sich die Angerufenen der wiederholten Anrufe nicht erwehren, sodass in der Summe eine längere Zeit der Blockade zustande kam. Für die Beamten sei es auch nicht möglich gewesen, den Vorgang zu stoppen.

Einsatzkräfte des Fachkommissariats Cybercrime der Zentralen Kriminalinspektion Osnabrück durchsuchten Ende Juni mehrere Wohnobjekte in Schleswig-Holstein, Nordrhein-Westfalen, Baden-Württemberg und Bremen. Die Maßnahmen richteten sich unter anderem gegen Adressen in Wentorf bei Hamburg, Mülheim an der Ruhr, Eppingen und Bremen. Die Durchsuchungsbeschlüsse waren durch die Staatsanwaltschaft Osnabrück – Zentralstelle Internet- und Computerkriminalität (Cybercrime) – beantragt worden.

„Cyberangriffe auf die Polizei sind kein Kavaliersdelikt – sie können den Arbeitsalltag unserer Kolleginnen und Kollegen massiv beeinträchtigen“, sagt Laura-Christin Brinkmann, Pressesprecherin der Polizeidirektion Osnabrück laut einer Pressemitteilung. „Gerade in Zeiten, in denen schnelle Erreichbarkeit entscheidend sein kann, wiegen solche Störungen besonders schwer.“

Bei den Durchsuchungen wurden zahlreiche elektronische Geräte sichergestellt, darunter Smartphones, Laptops, externe Speichermedien und Netzwerktechnik.


(mki)



Source link

Weiterlesen

Datenschutz & Sicherheit

Offener Brief: Fehlende Transparenz im Digitalausschuss


21 Organisationen, darunter D64, AlgorithmWatch und der CCC fordern in einem offenen Brief, dass der Digitalausschuss grundsätzlich öffentlich tagen soll. Es brauche „Mut zur Transparenz“, so die Organisationen aus der digitalen Zivilgesellschaft.

Der Brief richtet sich an den Vorsitzenden des Ausschuss für Digitales und Staatsmodernisierung Hansjörg Durz (CSU) und die Ausschussmitglieder Hoppermann (CDU), Lührmann, Dillschneider (Bündnis 90/Die Grünen), Schätzl (SPD) und Vogtschmidt (Die Linke).

Der Ausschuss plant laut dem offenen Brief, in dieser Legislaturperiode grundsätzlich nicht öffentlich zu tagen – außer, Öffentlichkeit wird extra beschlossen. Das ist möglich durch eine Verfahrensregelung in der Geschäftsordnung. Doch häufig werde das wohl nicht vorkommen. Es gebe laut dem Brief den Eindruck, das die Koalitionsfraktionen Union und SPD wenig Interesse an öffentlichen Sitzungen haben.

„Intransparenz gefährdet das Demokratieprinzip“

Aus diesem Grund sprechen die Organisationen von einem „Rückschritt für die Transparenz“. Denn fehlende Öffentlichkeit erschwert es der Zivilgesellschaft, Debatten zu verfolgen und zu bewerten. „Intransparenz gefährdet das Demokratieprinzip, das Recht auf Information und widerspricht dem verfassungsrechtlichen Anspruch auf öffentliche Kontrolle parlamentarischer Prozesse“, heißt es in dem Brief. Die über 21 Organisationen lehnen die Verfahrensregelung ab.

Nur durch Transparenz, was in den Ausschüssen besprochen wird, kann die Zivilgesellschaft partizipieren. Die Verfahrensregelung ist besonders fragwürdig, wenn bei Mitgliedern wie Johannes Schätzl (SPD) auf der Webseite steht: „Transparenz hat bei mir höchste Priorität“.

Die Diskussion um die Öffentlichkeit bei Bundestagsausschüssen ist nicht neu. Schon in der letzten Legislatur verpasste die damalige Ampel-Regierung, Sitzungen standardmäßig öffentlich zu machen und live zu streamen.



Source link

Weiterlesen

Beliebt