Contact Form 7 Datepicker: Gefährliches WordPress-Plugin ohne Support

Angreifer könnten WordPress-Websites attackieren und Admin-Sessions übernehmen.

In Pocket speichern vorlesen Druckansicht
Digitaler Angriff

(Bild: dpa, Jens Büttner/zb/dpa)

Lesezeit: 2 Min.

Wer seine Website mit dem Content Management System (CMS) WordPress erstellt hat und das Plugin Contact Form 7 Datepicker nutzt, sollte es aus Sicherheitsgründen deaktivieren. Geschieht dies nicht, könnten Angreifer im schlimmsten Fall die volle Kontrolle über Seiten erlangen. Das Angriffsrisiko gilt als "hoch".

Das Plugin soll einer Warnmeldung von Sicherheitsforschern von Wordfence zufolge 100.000 Installationen aufweisen. Es ist eine Ergänzung des Plugins Contact Form 7, mit dem man damit erstellte Formulare um spezielle Datumsfelder ergänzen kann. Contact Form 7 ist aber nicht von der Sicherheitslücke betroffen. Dieses Plugin weist derzeit über 5 Millionen aktive Installationen auf. Eine CVE-Nummer für die Schwachstelle wurde bislang noch nicht vergeben.

Die Sicherheitsforscher berichten, dass Websites mit dem verwundbaren Plugin über eine Authenticated-Stored-Cross-Site-Scripting-Lücke angreifbar sind. Dabei handelt es sich um eine persistente XSS-Attacke, was besonders gefährlich ist.

Aufgrund einer fehlenden Prüfung könnte ein angemeldeter Angreifer mit minimalen Rechten – beispielsweise ein Website-Abonnent – mit Schadcode versehenes JavaScript dauerhaft in den Einstellungen des Plugins ablegen.

Jedes Mal, wenn nun ein autorisierter Nutzer ein Formular erstellt oder modifiziert, wird der Code im Webbrowser ausgeführt. Den Sicherheitsforschern zufolge könnten Angreifer so beispielsweise Admin-Sessions kapern.

Da die Entwickler das Plugin Contact Form 7 Datepicker offiziell nicht mehr unterstützen und WordPress es bereits aus der Plugin-Sektion offline genommen hat, sollten Nutzer es auf ihren Websites zügig deinstallieren. (des)