Millionen WordPress-Webseiten gefährdet

Eine Sicherheitslücke im beliebten Plug-in Contact Form 7 ermöglicht es Angreifern, Dateien jeglichen Typs hochzuladen. Ein Sicherheitsupdate ist verfügbar. [...]

Datenlücke gefährdet Wordpress-Webseiten (c) pixabay.com

Eine gefährliche Sicherheitslücke im WordPress-Plug-in Contact Form 7 gefährdet Millionen von Word-Press-Webseiten. Gefunden wurde die Schwachstelle von Sicherheitsforschern von Astra, wie «Heise Online» berichtet.

Contact Form 7 ermöglicht es Nutzern, mehrere Kontaktformulare auf einer Webseite hinzuzufügen und ist nach Angaben des Astra-Research-Teams eines der beliebtesten WordPress-Plugins. Auf der entsprechenden WordPress-Seite sind über 5 Millionen aktive Installationen ausgewisen und das Plug-in ist in 62 Sprachen verfügbar.

Das WordPress-Plugin Contact Form 7 (c) Screenshot/PCtipp.ch

Wird die Schwachstelle ausgenutzt, könnten Angreifer Dateien eines beliebigen Typs hochladen, heisst es im Blog-Eintrag (englisch). Auserdem könnten die Angreifer eine Web-Shell-Schnittstelle für den Fernzugriff auf Servern platzieren und eigene Befehle ausführen, so «Heise Online». Ob die Schwachstelle bereits ausgenutzt wird, ist momentan nicht bekannt.

Die Sicherheitsforscher haben sich am 16. Dezember 2020 an die Entwickler des Contact-Form-7-Plug-ins gewandt. Bereits einen Tag später stellten diese einen offiziellen Patch zur Verfügung. Das Astra-Research-Team empfiehlt dringend, das Plug-in sofort auf die neuste Version (5.3.2) zu aktualisieren. Hierfür wird mindestens WordPress 5.4 benötigt.


Mehr Artikel

News

TeamViewer kauft Linzer Xaleon

Das 2018 gegründete Linzer SaaS-Unternehmen Xaleon (vormals Chatvisor) wurde an das DAX-Unternehmen TeamViewer verkauft. Das Customer-Engagement-Lösung für mehr Kundenzufriedenheit ist dem Käufer einen zweistelligen Millionenbetrag zuzüglich eines signifikanten vierjährigen Cash-Earn-Outs wert. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*