WordPress Plugin „Custom Contact Forms“ mit Sicherheitslücke, Update empfohlen

Falls Ihr einen WordPress-Blog einsetzt und in diesem vielleicht auf das Plugin Custom Contact Forms setzt, solltet Ihr dringend ein Update durchführen. Wie Sucuri herausfand, gab es in dem Plugin eine Lücke, die den Download, die Modifikation und den Upload von Datenbanken ermöglicht – und zwar ohne Authentifizierung. Eine kritische Lücke also, die Sucuri dem Entwickler auch mitgeteilt hat, allerdings ohne Reaktion. Erst nachdem sich WordPress eingeschaltet hat, wurde der Bug beseitigt, ein entsprechendes Update steht bereit und sollte auch unbedingt durchgeführt werden.

CCF_Bug

Sucuri gibt Nutzern des Plugins auch gleich den Ratschlag, direkt auf ein anderes Plugin (Jetpack und Gravity Forms wird genannt) zu setzen, wenn man ein Kontaktformular benötigt. Begründet wird dies damit, dass der Entwickler nicht reagierte. Die Details zu der Lücke findet Ihr bei Sucuri, bedenkt man, dass die Lücke in allen Versionen des Plugins vorhanden war und das Plugin über 600.000 Downloads verzeichnet, ist es fast erstaunlich, dass da nicht in großem Umfang Unfug mit getrieben wurde. Es gibt laut einem Kommentar unter dem Sucuri-Artikel allerdings auch schon Meldungen, dass die Lücke aktiv ausgenutzt wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Contact Form ist das einzige WP Plugin dafür, was gut ist. Ende.

  2. Ich stelle mir ernsthaft die Frage, warum es einem Plugin überhaupt möglich ist, Adminrechte zu erlangen. Liegt die Lücke da nicht viel mehr in WP selbst, als an dem Plugin?

  3. Contact Form 7 soll auch betroffen sein.

  4. Seitdem ich das Plugin „WP Update Settings“ (http://wordpress.org/plugins/wp-updates-settings/) verwende, wird nicht nur meine WordPress Core sondern auch die Themes und die Plugins komplett automatisch aktualisiert.

    Da braucht’s nie mehr so einen Blog-Post hier, weil das ja automatisch sofort eingespielt wird 🙂

  5. @Mike: Grund/Quelle?

  6. Danke für den TIpp, hab gleich aktualisiert. Wie kann so ein Plugin überhaupt solche Rechte haben?

  7. Contact form 7 ist soweit ich sehen konnte nicht betroffen, hab nochmal geschaut und nichts darüber finden können.

  8. Sorry, habe mich wohl verguckt.!!

  9. Benutze (zum Glück) auch „Contact Form 7“. Immer wieder erschreckend, dass Entwickler auf solch einen Hinweis nicht reagieren bzw. erst wenn die Öffentlichkeit davon erfährt oder ein größeres „Unternehmen“ darauf aufmerksam macht.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.