Backup & Security / Internet

WordPress Plugin „Custom Contact Forms“ mit Sicherheitslücke, Update empfohlen

Avatar-Fotovon | 9 Kommentare

Falls Ihr einen WordPress-Blog einsetzt und in diesem vielleicht auf das Plugin Custom Contact Forms setzt, solltet Ihr dringend ein Update durchführen. Wie Sucuri herausfand, gab es in dem Plugin eine Lücke, die den Download, die Modifikation und den Upload von Datenbanken ermöglicht – und zwar ohne Authentifizierung. Eine kritische Lücke also, die Sucuri dem Entwickler auch mitgeteilt hat, allerdings ohne Reaktion. Erst nachdem sich WordPress eingeschaltet hat, wurde der Bug beseitigt, ein entsprechendes Update steht bereit und sollte auch unbedingt durchgeführt werden.

CCF_Bug

Sucuri gibt Nutzern des Plugins auch gleich den Ratschlag, direkt auf ein anderes Plugin (Jetpack und Gravity Forms wird genannt) zu setzen, wenn man ein Kontaktformular benötigt. Begründet wird dies damit, dass der Entwickler nicht reagierte. Die Details zu der Lücke findet Ihr bei Sucuri, bedenkt man, dass die Lücke in allen Versionen des Plugins vorhanden war und das Plugin über 600.000 Downloads verzeichnet, ist es fast erstaunlich, dass da nicht in großem Umfang Unfug mit getrieben wurde. Es gibt laut einem Kommentar unter dem Sucuri-Artikel allerdings auch schon Meldungen, dass die Lücke aktiv ausgenutzt wird.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. PerformerFX says:
    9. August 2014 um 14:03 Uhr

    Contact Form ist das einzige WP Plugin dafür, was gut ist. Ende.

  2. Patrick says:
    9. August 2014 um 14:09 Uhr

    Ich stelle mir ernsthaft die Frage, warum es einem Plugin überhaupt möglich ist, Adminrechte zu erlangen. Liegt die Lücke da nicht viel mehr in WP selbst, als an dem Plugin?

  3. Mike says:
    9. August 2014 um 14:37 Uhr

    Contact Form 7 soll auch betroffen sein.

  4. UK says:
    9. August 2014 um 14:44 Uhr

    Seitdem ich das Plugin „WP Update Settings“ (http://wordpress.org/plugins/wp-updates-settings/) verwende, wird nicht nur meine WordPress Core sondern auch die Themes und die Plugins komplett automatisch aktualisiert.

    Da braucht’s nie mehr so einen Blog-Post hier, weil das ja automatisch sofort eingespielt wird 🙂

  5. Alexander says:
    9. August 2014 um 14:59 Uhr

    @Mike: Grund/Quelle?

  6. Mario says:
    9. August 2014 um 17:04 Uhr

    Danke für den TIpp, hab gleich aktualisiert. Wie kann so ein Plugin überhaupt solche Rechte haben?

  7. Michael says:
    9. August 2014 um 18:58 Uhr

    Contact form 7 ist soweit ich sehen konnte nicht betroffen, hab nochmal geschaut und nichts darüber finden können.

  8. Mike says:
    10. August 2014 um 17:16 Uhr

    Sorry, habe mich wohl verguckt.!!

  9. Timo says:
    10. August 2014 um 21:26 Uhr

    Benutze (zum Glück) auch „Contact Form 7“. Immer wieder erschreckend, dass Entwickler auf solch einen Hinweis nicht reagieren bzw. erst wenn die Öffentlichkeit davon erfährt oder ein größeres „Unternehmen“ darauf aufmerksam macht.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.

Umfrage des Monats

Günstig mit Werbung streamen oder Aufpreis zahlen?

View Results

Wird geladen ... Wird geladen ...

Anzeige