Die Entwickler des Sicherheits-Plugins Wordfence für das beliebte CMS WordPress haben eine Schwachstelle (CVSS-Score 8.8) mit der Einstufung „High“  im Plugin „Contact Form 7 Style“ entdeckt.

Die Sicherheitslücke betrifft alle Versionen des Plugins und kann Angreifern das Einbinden von schädlichem JavaScript-Code in WordPress-Webseiten ermöglichen, in denen es läuft.

Dazu ist es allerdings nötig, dass die Angreifer einen als Administrator angemeldeten Nutzer dazu bewegen, eine bestimmte Interaktion, nämlich das Anklicken eines speziellen Links oder Anhangs, auszuführen.

Nach Angaben von Wordfence läuft „Contact Form 7 Style“ auf mehr als 50.000 WordPress-Websites. Das Plugin wird dazu benutzt, Formularen, die mit dem Plugin „Contact Form 7“ erstellt wurden, weitere Stile hinzuzufügen und sie dadurch vom Design her anzupassen.

Es ist also eine Ergänzung zu dem millionenfach installierten „Contact Form 7“, welches von einem anderen Entwickler stammt und ausdrücklich nicht von dieser Schwachstelle betroffen ist.

Deaktivieren und Entfernen dringend empfohlen

Das Wordfence-Team hat die Entwickler des vulnerablen Plugins schon Anfang Dezember über den Schwachstellenfund informiert. Als diese nicht reagierten, hat es sich im Januar direkt an das WordPress-Team gewandt, das den Entwicklern weitere 30 Tage Zeit zum Aktualisieren des Codes eingeräumt hat.

Nachdem immer noch keinerlei Reaktion erfolgte, habe WordPress „Contact Form 7 Style“ in der letzten Woche vorübergehend vollständig aus dem offiziellen Plugin-Repository entfernt (Siehe Screenshot).

Offensichtlich wird das Plugin nicht mehr gepflegt und weiterentwickelt wird. Weil die Entwickler fast zwei Monate lang nicht auf Nachfragen reagiert haben, rät Wordfence in seinem Blogeintrag zu der Schwachstelle dazu, es komplett aus WordPress zu entfernen und sich nach einer Alternative umzusehen.

Screenshot: WordPress Repository