Sicherheitslücke bei WordPress-Plugin: Contact Form 7

Contact Form 7 - wordpress plugin sicherheitslücke
JohannesVon Johannes|20. Dezember 2020

Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin Contact Form 7 gemeldet. Vorsicht: Auch dasDatabase Addon CFDB7 war kürzlich betroffen und sollte auf den neuesten Stand gebracht werden.

Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — im Allgemeinen für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Contact Form 7

Mit dem beliebten Plugin Contact Form 7 können verschiedene Kontaktformulare verwaltet werden. Die Formulare und Mail-Inhalte können leicht und flexibel angepasst werden. CAPTCHA, Akismet Spam Filter und Ajax-gestützte Übertragung.
Das Plugin zählt laut wordpress.org aktuell über 5.000.000 aktive Installationen.

 


Bekannt geworden 17.12.2020:

Kritische Sicherheitslücke: Unrestricted File Upload

Diese gefährliche Sicherheitslücke kann überall und von jedem Besucher missbraucht werden, wenn Dateiupload in einem Formular aktiviert ist.
(Proof of Concept: Append a unicode special character (from U+0000 [null] to U+001F [us]) to a filename and upload it via the ContactForm7 upload feature)
So kann ein einfacher Besucher völlig beliebig Dateien hochladen und dabei alle entsprechenden Einschränkungen umgehen. Dadurch können in der Folge bösartige Skripte platziert werden, die unbedarfte Nutzer und Besucher der Webseite gefährden. Es kann ein Web Shell platziert werden und die Seite kann verunstaltet oder komplett übernommen werden, weswegen wir dringend zum Update raten.
Diese Lücke kann geschlossen werden, indem das Plugin auf die gefixte Version 5.3.2 geupdatet wird.

 

Quelle: https://wpscan.com/vulnerability/7391118e-eef5-4ff8-a8ea-f6b65f442c63
Weitere Quellen (englisch):
https://www.getastra.com/blog/911/plugin-exploit/contact-form-7-unrestricted-file-upload-vulnerability/
https://www.jinsonvarghese.com/unrestricted-file-upload-in-contact-form-7/

 

❌ (PS: Falls du das Contact Form 7 Database Addon – CFDB7  verwendest, solltest du dieses wegen aktuell behobenen Sicherheitslücken ebenfalls auf die aktuelle Version bringen:  https://wpscan.com/plugin/contact-form-cfdb7) ❌

 

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.