SchwachstellenHackerangriffeMalware

Kritische Sicherheitslücke in Ninja Forms bedroht 50.000 WordPress-Websites

Kritische Sicherheitslücke in Ninja Forms bedroht 50.000 WordPress-Websites
Zusammenfassung

Eine kritische Sicherheitslücke in der File Uploads-Erweiterung des populären WordPress-Plugins Ninja Forms bedroht derzeit etwa 50.000 Websites weltweit. Die als CVE-2026-0740 eingestufte Schwachstelle mit einem CVSS-Score von 9,8 ermöglicht es unauthentifizierten Angreifern, beliebige Dateien auf Server hochzuladen und damit vollständige Kontrolle über betroffene Websites zu erlangen. Das Problem liegt in unzureichenden Datei-Validierungsprüfungen: Die Erweiterung überprüft weder den Dateityp noch den Zieldateinamen angemessen, was Hackern ermöglicht, PHP-Dateien hochzuladen und durch Path-Traversal-Techniken sogar ins Webroot-Verzeichnis zu platzieren. Angreifer könnten damit Webshells installieren und Remote-Code-Execution-Angriffe durchführen. Für deutsche Nutzer und Unternehmen, die auf WordPress-basierte Websites angewiesen sind, bedeutet dies ein erhebliches Risiko. Das Sicherheitsunternehmen Defiant hat bereits tausende Exploitierungsversuche dokumentiert. Als sofortige Gegenmaßnahme wird ein Update auf Version 3.3.27 dringend empfohlen. Jede Website, die die anfällige Version nutzt, sollte unverzüglich handeln, um sich vor Kompromittierung zu schützen.

Die Sicherheitslücke CVE-2026-0740 mit einem CVSS-Wert von 9.8 stellt eine unmittelbare Bedrohung dar. Sie basiert auf einer fehlenden Datei-Validierung im Upload-Verfahren der Ninja Forms-Erweiterung. Das Problem liegt darin, dass die Erweiterung die Zieldatei nicht überprüft, bevor sie in das Upload-Verzeichnis verschoben wird. Dies ermöglicht es Angreifern, Dateien mit der Endung .php hochzuladen – also ausführbare PHP-Code-Dateien.

Das technische Versäumnis wird durch fehlende Filename-Sanitization verschärft. Dadurch können Angreifer nicht nur Dateien hochladen, sondern auch Path-Traversal-Angriffe durchführen. Das bedeutet: Malware kann gezielt in das Web-Root-Verzeichnis platziert werden, wo sie unmittelbar über einen Browser aufgerufen und ausgeführt wird.

Sicherheitsforscher Sélim Lanouar entdeckte die Lücke im Januar und meldete sie über das Wordfence Bug-Bounty-Programm. Für seinen Fund erhielt er eine Belohnung von 2.145 Dollar. Die Defiant-Analysten berichten, dass bereits tausende Exploit-Versuche in der freien Wildbahn beobachtet wurden.

Für Angreifer bietet die Lücke attraktive Möglichkeiten: Sie könnten Web-Shells installieren und damit die vollständige Kontrolle über die betroffene Website übernehmen. Dies würde es ihnen erlauben, Datenbanken auszulesen, Malware zu verbreiten oder die Seite für weitere Angriffe zu missbrauchen.

Defiant warnt, dass keine Authentifizierung erforderlich ist. Damit kann theoretisch jeder Internetnutzer die Lücke ausnutzen – ohne Login, ohne Berechtigungen. Dies erhöht die praktische Gefahr erheblich, da nicht einmal Administrator-Zugang nötig ist.

Die Lösung ist klar: Nutzer müssen sofort auf Ninja Forms – File Uploads in Version 3.3.27 oder später aktualisieren. Alle vorherigen Versionen sind anfällig. Für Administratoren von WordPress-Installationen ist eine umgehende Überprüfung und Aktualisierung essentiell. Wer unsicher ist, ob das Plugin im Einsatz ist, sollte die Plugin-Liste in der WordPress-Verwaltung überprüfen.

Gerade deutsche Mittelständler und Unternehmen, die auf WordPress setzen, sollten diesen kritischen Patch nicht ignorieren. Die Kombination aus hoher Verbreitung (50.000 Websites), aktiven Angriffen und fehlender Authentifizierung macht dies zu einem Priority-1-Update.

Ähnliche Artikel