WordPress: Kritische Lücke im Plug-in Custom Contact Forms
Durch einen Programmierfehler im Plug-in kann ein Angreifer die gesamte Installation der Blog-Software übernehmen. Die Entwickler der Software reagierten allerdings erst mal gar nicht auf das Problem.
- Fabian A. Scherschel
WordPress-Admins, die das Plug-in Custom Contact Forms einsetzten, sollten schnellst möglich ein jetzt veröffentlichtes Sicherheitsupdate installieren. Eine Lücke in dem Plug-in erlaubt es Angreifern, einen Teil der Datenbank der WordPress-Installation herunterzuladen, neue SQL Queries anzulegen und die Datenbank dann wieder hochzuladen. Dadurch können Angreifer sich einen Admin-Nutzer anlegen und die WordPress-Installation übernehmen. Außerdem kann die Datenbank nach Belieben modifiziert werden.
Forscher der Firma Sucuri hatten die Lücke entdeckt und die Plug-in-Entwickler informiert. Das Problem basiert auf dem selben Programmierfehler wie die vor kurzem entdeckte Lücke im MailPoet-Plug-in. Allerdings reagierten die Entwickler nicht. Erst als Sucuri das Sicherheitsteam von WordPress selbst einschaltete, wurde die Lücke geschlossen. Alle Ausgaben des Plug-ins bis Version 5.1.0.3 sind verwundbar. Die jetzt herausgegebene Version 5.1.0.4 schließt die Lücke.
Custom Contact Forms wurde bis jetzt mehr als eine halbe Million Mal heruntergeladen. Angesichts der enttäuschenden Reaktion der Entwickler empfiehlt Sucuri den Nutzern auf ein anderes Kontaktformular-Plug-in umzusteigen. Zwei von den Forschern genannte Alternativen sind Jetpack von Wordpress.com und das Bezahl-Plug-in Gravity Forms. (fab)