WordPress: Schwachstelle in Plugin "Contact Form 7 Style" dauerhaft ungefixt

Die Macher des Sicherheits-Plugins Wordfence für das CMS WordPress haben eine Schwachstelle mit "High"-Einstufung (CVSS-Score 8.8) im Plugin "Contact Form 7 Style" entdeckt. Sie betrifft alle Versionen des Plugins und kann Angreifern das Injizieren schädlichen JavaScript-Codes in WP-Websites ermöglichen, in denen es läuft. Voraussetzung hierfür ist allerdings, dass der Angreifer einen als Administrator angemeldeten Nutzer dazu bringt, eine bestimmte Interaktion (Anklicken eines speziellen Links oder Anhangs) durchzuführen.

"Contact Form 7 Style" läuft laut Wordfence auf über 50.000 WordPress-Websites. Das Plugin dient dazu, Formularen, die mit dem Plugin Contact Form 7 erstellt wurden, weitere Stile hinzuzufügen und sie somit optisch anzupassen. Es bildet somit eine Ergänzung zu dem millionenfach installierten "Contact Form 7", das von einem anderen Entwickler stammt und ausdrücklich nicht von der Schwachstelle betroffen ist.

Deaktivieren und Entfernen dringend ratsam

Nach eigenen Angaben hat das Wordfence-Team die Entwickler des verwundbaren Plugins bereits Anfang Dezember über den Schwachstellenfund informiert. Nachdem diese nicht reagiert hätten, habe es sich im Januar direkt an das WordPress-Team gewandt, das den Entwicklern nochmals 30 Tage Zeit zum Aktualisieren des Codes eingeräumt habe. Nachdem weiterhin keinerlei Reaktion erfolgt sei, habe WordPress "Contact Form 7 Style" vergangene Woche vorübergehend vollständig aus dem offiziellen Plugin-Repository entfernt.

Angesichts der Tatsache, dass das Plugin offensichtlich nicht mehr gepflegt und weiterentwickelt wird und die Entwickler fast zwei Monate nicht auf Nachfragen reagiert haben, rät Wordfence in seinem Blogeintrag zur Schwachstelle dazu, es vollständig aus WordPress zu entfernen und sich nach Alternativen umzuschauen.

Lesen Sie auch

WordPress-Plug-in Popup Builder: Angreifer könnten Newsletter verschicken

(ovw)