WordPress Plugin “Contact Form 7” führt zu Schwachstellen bei über 5 Mio. Seiten
Im WordPress Plugin “Contact Form 7” wurde nun eine schwerwiegende Sicherheitslücke entdeckt, die es Hackern ermöglicht, bösartige Skripte hochzuladen. Die Herausgeber von Contact Form 7 haben umgehend ein Update veröffentlicht, um die Sicherheitslücke schnellstmöglich zu schließen.
Das ist die Schwachstelle in Contact Form 7
Bei der Sicherheitslücke in Contact Form 7 handelt es sich um eine Sicherheitslücke beim uneingeschränkten Datei-Upload. Diese liegt in einem WordPress-Plugin liegt vor, wenn das Plugin einem Hacker ermöglicht, eine Web-Shell (ein bösartiges Skript) hochzuladen. Das Skript kann dazu verwendet werden, um beispielsweise eine Website zu übernehmen oder eine Datenbank zu manipulieren.
Contact Form 7 reagiert schnell
Im Fall von Contact Form 7 gab es ein Problem in der Dateinamenbereinigung, das dazu führte, dass bestimmte Arten von gefährlichen Dateien unbeabsichtigt zugelassen wurden. Contact Form 7 bezeichnet ihr neuestes Update als “dringende Sicherheits- und Wartungsversion”. Die neue Filename Sanitization-Funktion blockiert bestimmte Dateinamen und/oder erlaubt nur eine eingeschränkte Liste von Dateinamen.
Die Sicherheitslücke bei der Bereinigung von Dateinamen ist in Contact Form 7 Version 5.3.2 behoben. Alle Versionen von Contact Form 7 ab 5.3.1 und darunter gelten als verwundbar und sollten sofort aktualisiert werden.
Quelle: Search Engine Journal
Kommentare
Christian 27. Dezember 2020 um 22:54
Hallo,
es hat sich ein Fehler bei der zweiten und dritten Nennung der Plugin-Versionsnummer eingeschlichen.
Es müsste Contact Form 7 Version 5.3.2 sein NICHT Contact Form 7 Version 7.5.3.2
Grüße