Sicherheitsforscher von Astra sind auf eine gefährliche Sicherheitslücke im weit verbreiteten WordPress-Plug-in Contact Form 7 gestoßen. Das Plug-in weist 5 Millionen aktive Installationen auf. Ob Angreifer die Sicherheitslücke derzeit ausnutzen, ist nicht bekannt.
Mit Contact Form 7 können Admins von Websites Besuchern verschiedene Kontaktformulare anbieten. Aufgrund eines Fehlers im Upload-Mechanismus könnten Angreifer beliebige mit Schadcode verseuchte Dateien hochladen, führen die Sicherheitsforscher in einem Beitrag aus.
Außerdem könnten Angreifer eine Web-Shell-Schnittstelle für den Fernzugriff auf Servern platzieren und eigene Befehle ausführen. Durch erfolgreiche Attacken könnten sie die volle Kontrolle über Seiten erlangen.
Welche Websites sind verwundbar?
Alle Version von Contact Form 7 bis einschließlich 5.3.1 sind angreifbar. In einer Warnmeldung raten die Entwicklern Admins dazu, zügig die gegen diese Uplaod-Attacken abgesicherte Ausgabe 5.3.2 zu installieren. Das Plug-in setzt mindestens die WordPress-Version 5.4 voraus.
Eine CVE-Nummer zur Kennzeichnung der Sicherheitslücke wurde offensichtlich noch nicht vergeben. Auch eine Einstufung des Bedrohungsgrads steht noch aus.
Es geht auch schnell
Die Sicherheitsforscher geben an, die Schwachstelle am 16. Dezember 2020 entdeckt und an die Entwickler gemeldet zu haben. Bereits einen Tag später erschien die gepatchte Version von Contact Form 7.
Um potenziellen Angreifer nicht zu viele Informationen zu verraten, wollen die Sicherheitsforscher erst in zwei Wochen detailliertere Informationen zu möglichen Angriffsszenarien veröffentlichen. So haben Admins noch Zeit, das Plug-in zu aktualisieren.
Quelle: Angreifer könnten Schadcode auf Millionen WordPress-Websites hochladen | heise online