WordPress Sicherheitsalarm Plugin Contact Form 7

Sicherheitslücke in Contact Form 7

Auf bis zu 10 Millionen WordPress-Seiten im Einsatz ist Contact Form 7 ein sehr populäres Formular-Plugin.Gestern wurde ein Update veröffentlicht, womit eine Sicherheitslücke beim Feld für Datei-Uploads geschlossen wird.Ob diese Feld genutzt wird oder nicht, es empfiehlt sich dringend das Update einzuspielen.

Hier der übersetzte Artikel von wordfence.com:

Contact Form 7, das wohl am weitesten verbreitete WordPress-Plugin, hat einen Sicherheitspatch für eine Schwachstelle im uneingeschränkten Datei-Upload für die Versionen 5.3.1 und niedriger veröffentlicht. Das WordPress-Plugin-Verzeichnis listet über 5 Millionen Websites auf, die Contact Form 7 verwenden, aber wir schätzen, dass es mindestens 10 Millionen Installationen hat.

Eine der wichtigsten Funktionen von Contact Form 7 ist die Möglichkeit, Datei-Uploads als Teil einer Formularübermittlung zu erlauben. Während hochgeladene Dateinamen während des Upload-Prozesses bereinigt werden, zeigt die Überprüfung des Patches, dass ein Angreifer möglicherweise einige der Schutzmaßnahmen zur Bereinigung von Dateinamen von Contact Form 7 beim Hochladen von Dateien umgehen könnte, indem er Steuerzeichen oder unsichtbare Trennzeichen hinzufügt.

Es gibt eine Reihe von Schutzmaßnahmen in Contact Form 7, die es schwierig machen, diese Umgehung vollständig auszunutzen:

Alle hochgeladenen Dateien werden vorübergehend in einem Ordner mit einem zufälligen Namen gespeichert und sofort entfernt, nachdem die Datei an den Empfänger des Formulars gesendet wurde. Das bedeutet, dass der Angreifer in der Lage sein müsste, den zufälligen Ordnernamen zu finden, was wahrscheinlich voraussetzt, dass die Verzeichnisindizierung aktiviert ist, und er müsste dies tun, bevor das zufällige Verzeichnis und die hochgeladene Datei entfernt wurden.
Contact Form 7 verwendet eine .htaccess-Datei, um den direkten Zugriff auf hochgeladene Dateien zu verhindern, der für die Ausführung von Code erforderlich wäre. Dies funktioniert zwar nur bei Sites, auf denen Apache läuft, verhindert aber die Ausführung aller hochgeladenen Dateien, sofern keine separate Sicherheitslücke vorliegt.
Der Dateiname muss mit einer akzeptablen Dateierweiterung enden. Das bedeutet, dass nur bestimmte Apache-Konfigurationen jeder hochgeladenen Datei mit einer doppelten Endung einen PHP-Handler zuweisen würden.
Wenn Sie Contact Form 7 ohne die Datei-Upload-Funktionalität verwenden, ist Ihre Website nicht anfällig für Angreifer, die diese Sicherheitslücke ausnutzen wollen. Wir empfehlen dennoch ein sofortiges Update, um sicherzustellen, dass Ihre Website geschützt ist.

https://www.wordfence.com/blog/2020/12/a-challenging-exploit-the-contact-form-7-file-upload-vulnerability/

Hier der Changelog von Contact Form 7

Contact Form 7 5.3.2 has been released. This is an urgent security and maintenance release. We strongly encourage you to update to it immediately.

An unrestricted file upload vulnerability has been found in Contact Form 7 5.3.1 and older versions. Utilizing this vulnerability, a form submitter can bypass Contact Form 7’s filename sanitization, and upload a file which can be executed as a script file on the host server. This issue has been reported by Jinson Varghese Behanan from Astra Security.

Requires: WordPress 5.4 or higher
Tested up to: WordPress 5.6

https://contactform7.com/2020/12/17/contact-form-7-532/

Das Update läßt sich am einfachsten über das WordPress-Backend installieren. Alternativ hier herunterladen: https://wordpress.org/plugins/contact-form-7/

und per FTP hochladen in den das Pluginverzeichnis.

Kunden von tim-ehling.com mit aktuellem Wartungsservice haben das Update schon eingespielt bekommen.

Benötigst Du WordPress Hilfe?


Willst Du aktuelle Artikel, Information zu Sicherheitslücken und weiteres zu WordPress? Dann abonniere jetzt den WordPress-Newsletter!

Das interessiert dich vielleicht auch:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.