Datenschutz & Sicherheit
600.000 WordPress-Instanzen durch Lücke in Plug-in Forminator kompromittierbar
Auf mehr als 600.000 Installationen kommt das WordPress-Plug-in Forminator. IT-Sicherheitsforscher haben darin eine Schwachstelle entdeckt, durch die Angreifer am Ende verwundbare Instanzen vollständig übernehmen können. Ein Update zum Schließen der Lücke steht jedoch schon bereit.
Die IT-Forscher von Wordfence warnen in einem Blog-Beitrag vor der Sicherheitslücke. Durch die Schwachstelle im WordPress-Plug-in Forminator können nicht authentifizierte Angreifer beliebige Dateipfade in einer Formular-Übermittlung angeben, wodurch Forminator die spezifizierte Datei löscht, sofern die Übermittlung gelöscht wird. Dadurch können sie etwa die „wp-config.php“ löschen und in der Folge unter Umständen Schadcode ausführen (CVE-2025-6463 / noch kein EUVD, CVSS 8.8, Risiko „hoch„).
Detaillierte Angaben zur Schwachstelle
Die Funktion „entry_delete_upload_files“ prüft übergebene Pfadangaben nicht ausreichend. Nicht angemeldete bösartige Akteure können beliebige Dateipfade in einer Formular-Übermittlung angeben, die Datei wird dann beim Löschen des übermittelten Formulars entfernt. Das kann von WordPress-Admins angestoßen werden oder automatisch nach Vorgabe in den Plug-in-Einstellungen – Wordfence erläutert nicht, was dort standardmäßig eingestellt ist.
Das Löschen etwa der „wp-config.php“ versetzt die WordPress-Instanz in den Setup-Status, wodurch Angreifer sie vollständig übernehmen können, sofern sie sie an eine Datenbank unter ihrer Kontrolle anbinden. Dadurch können bösartige Akteure auch beliebigen Code ausführen. In ihrer Analyse gehen die IT-Forscher noch weiter in die Quelltextstellen und erörtern das Problem tiefergehend.
„Auch wenn diese Schwachstelle zum Ausnutzen einen Schritt passiver oder aktiver Interaktion erfordert, gehen wir davon aus, dass das Löschen von Formularen eine sehr wahrscheinliche auftretende Situation ist, vor allem, wenn sie sehr nach Spam aussehen“, schreiben die Analysten. Das mache die Sicherheitslücke zu einem begehrten Ziel für Angreifer. Wordfence empfiehlt Betroffenen, so schnell wie möglich sicherzustellen, dass die eigenen WordPress-Instanzen bereits auf dem aktualisierten Stand sind. Verwundbar ist Forminator bis Version 1.44.2, die Fehlerkorrektur bringt Version1.44.3 vom Montag dieser Woche oder neuer.
Mitte Juni wurde eine Schwachstelle im WordPress-Plug-in AI Engine bekannt. Es kommt auf mehr als 100.000 Webseiten zum Einsatz und ermöglichte aufgrund der Sicherheitslücke die vollständige Kompromittierung betroffener WordPress-Instanzen.
(dmk)
Datenschutz & Sicherheit
Netzwerk- und Cloudmanagement: Angreifer können F5 BIG-IP-Appliances lahmlegen
Um Cloud- und Netzwerkumgebungen mit F5 BIG-IP-Appliances zu schützen, sollten Admins zeitnah die jüngst veröffentlichten Sicherheitsupdates installieren. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und Instanzen attackieren.
Mehrere Schwachstellen
Im Sicherheitsbereich seiner Website listet F5 weiterführende zu seinen quartalsweise erscheinenden Sicherheitsupdates auf. Konkret betroffen sind BIG-IP APM (Sicherheitsupdates 16.1.6, 17.1.2.2), BIG-IP Client SSL (Sicherheitsupdates 16.1.6, 17.1.2.2), BIG-IP APM VPN Browser Client macOS (Sicherheitspatch 7.2.5.3), F5 Access for Android (Sicherheitsupdate 3.1.2).
Alle geschlossenen Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. So können Angreifer etwa aufgrund eines Fehlers bei der HTTP/2-Implementierung an einer Lücke (CVE-2025-54500) für eine DoS-Attacke ansetzen. Angriffe sollen aus der Ferne und ohne Authentifizierung möglich sein.
Unter macOS können lokale Angreifer Sicherheitsmechanismen umgehen und sich höhere Nutzerrechte verschaffen (CVE-2025-48500). Auch wenn es derzeit noch keine Berichte zu laufenden Attacken gibt, sollten Admins mit dem Patchen nicht zu lange zögern. Schließlich könnten Angreifer nach erfolgreichen Attacken in Cloudinfrastrukturen von Unternehmen einsteigen und Unheil stiften.
(des)
Datenschutz & Sicherheit
BIOS-Sicherheitsupdate schließt Schadcodelücke in HP-PCs
Wer einen Computer von HP besitzt, sollte aus Sicherheitsgründen das BIOS auf den aktuellen Stand bringen. Andernfalls können Angreifer Systeme attackieren und im schlimmsten Fall Schadcode ausführen.
Angriff mit Hürden
In einer Warnmeldung von HP ist die Schwachstelle (CVE-2025-5477) mit dem Bedrohungsgrad „hoch“ aufgeführt. Erfolgreiche Attacken können dem Beitrag zufolge verschiedene Auswirkungen haben. Demzufolge können Angreifer etwa auf eigentlich abgeschottete Informationen zugreifen oder sogar eigenen Code ausführen. Letzteres führt in der Regel zu einer vollständigen Kompromittierung von PCs.
Doch aus der knappen Beschreibung der Lücke geht hervor, dass Attacken nicht ohne Weiteres möglich sind. Angreifer brauchen der Beschreibung zufolge physischen Zugriff auf ein Gerät und außerdem sei spezielles Equipment und Fachwissen nötig. Wie ein konkreter Angriff ablaufen könnte, ist bislang nicht bekannt. Unklar ist derzeit auch, ob es bereits Attacken gibt und woran man ein bereits erfolgreich attackiertes System erkennen kann.
Sicherheitspatch
In der Warnmeldung sind die verwundbaren Modelle aufgelistet. Darunter fallen Modelle folgender HP-Serien:
- Business-Notebooks etwa aus der Dragonfly-Serie
- Business-Desktop-PCs etwa aus der Elite-Minie-Serie
- Retail-Point-of-Sale Systeme (POS) etwa aus der Engage-Flex-Reihe
- Thin-Client-PCs etwa aus der mt21-Reihe
Ob Workstations bedroht sind, wird derzeit noch untersucht. Sicherheitsupdates liefert HP als Softwarepaket (SoftPaqs) aus. Deren Auflistung sprengt aber den Rahmen dieser Meldung. Besitzer von betroffenen PCs müssen in der Warnmeldung ihr Modell heraussuchen und das jeweilige Sicherheitsupdate herunterladen und installieren.
(des)
Datenschutz & Sicherheit
Plex-Mediaserver: Entwickler raten zu zügigem Sicherheitsupdate
Der Mediaserver Plex ist verwundbar und Angreifer können an einer Softwareschwachstelle ansetzen. Ein Sicherheitsupdate steht zum Download bereit.
Bislang kaum Details verfügbar
Auf die Lücke weisen die Entwickler im offiziellen Forum und in den Releasenotes der aktuellen Ausgabe 1.42.1.10060 hin. Weiterführende Informationen zur Lücke und auch eine CVE-Nummer nebst Einstufung des Bedrohungsgrads stehen aber noch aus.
Die Sicherheitslücke scheint aber so gefährlich zu sein, als dass die Verantwortlichen derzeit E-Mails an Nutzer schicken, die noch verwundbare Versionen nutzen. Die Entwickler geben an, dass die Ausgaben 1.41.7.x bis 1.42.0.x bedroht sind. Nutzer sollten so schnell wie möglich die abgesicherte Ausgabe installieren.
Auf Reddit tauschen sich Nutzer schon seit mehreren Tagen zur Sicherheitsproblematik aus.
Zuletzt sorgte Plex 2022 für Schlagzeilen, als Cyberkriminelle Nutzerdaten aus einer Datenbank kopieren konnten.
(des)
Ohne mechanische Verbindung: Virtuelles Kuppeln von Zügen per Ultrabreitband
Jubiläum von Pico-Balla: Haribo und Ritter Sport bringen erste Fruchtgummi-Schoki auf den Markt
Ford zündet Preisbombe ab 2027
Geschichten aus dem DSC-Beirat: Einreisebeschränkungen und Zugriffsschranken
Metal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
TikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Datenschutz & Sicherheitvor 2 MonatenGeschichten aus dem DSC-Beirat: Einreisebeschränkungen und Zugriffsschranken
-
Apps & Mobile Entwicklungvor 2 MonatenMetal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
Online Marketing & SEOvor 2 MonatenTikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Digital Business & Startupsvor 2 Monaten10.000 Euro Tickets? Kann man machen – aber nur mit diesem Trick
-
UX/UI & Webdesignvor 2 MonatenPhilip Bürli › PAGE online
-
Digital Business & Startupsvor 2 Monaten80 % günstiger dank KI – Startup vereinfacht Klinikstudien: Pitchdeck hier
-
Social Mediavor 2 MonatenAktuelle Trends, Studien und Statistiken
-
Apps & Mobile Entwicklungvor 2 MonatenPatentstreit: Western Digital muss 1 US-Dollar Schadenersatz zahlen