Die Sicherheitsforscher von Astra haben eine gefährliche Sicherheitslücke im weit verbreiteten WordPress-PlugIn Contact Form 7 entdeckt. Von diesem PlugIn werden 5 Millionen aktive Installationen genutzt. Ob Angreifer diese Sicherheitslücke zur Zeit schon ausnutzen, ist nicht bekannt geworden.

Mit dem PlugIn Contact Form 7 können die Admins der WordPress-Websites Besuchern verschiedene Kontaktformulare anbieten. Wegen eines Fehlers im Upload-Mechanismus der Erweiterung könnten Angreifer beliebige mit Schadcode versehene Dateien hochladen, sagen die Sicherheitsforscher in einem Beitrag.

Darüber hinaus könnten Angreifer auch eine Web-Shell-Schnittstelle für den Fernzugriff auf den betroffenen Servern installieren und damit eigene Befehle ausführen. Durch eine erfolgreiche Attacke könnten sie die volle Kontrolle über die Internetseiten erlangen.

Die verwundbaren Versionen

Es sind alle Version von Contact Form 7 bis einschließlich der 5.3.1 angreifbar. In einer Warnmeldung empfehlen die Entwickler den Admins, zügig die gegen solche Uplaod-Attacken abgesicherte Version 5.3.2 zu installieren. Das PlugIn setzt mindestens die WordPress-Version 5.4 voraus.

Ungewöhnlich schnelle Reaktion

Nach Angaben der Sicherheitsforscher wurde die Schwachstelle am 16. Dezember 2020 entdeckt und an die Entwickler gemeldet. Schon einen Tag danach erschien die gepatchte Version von Contact Form 7 – eine ungewöhnlich schnelle Reaktion.

Um möglichen Angreifer nicht zu viele Informationen zu der Schwachstelle zu geben, wollen die Sicherheitsforscher erst in 14 Tagen detailliertere Informationen zu den denkbaren Angriffsszenarien herausgeben. Dadurch haben die Admins noch Zeit, das Plug-in jetzt zu aktualisieren.