Defektes Plugin: Fehler von „Custom Contact Forms“ ermöglicht Admin-Zugriff - Pressengers
Custom Contact Forms gehackt

Defektes Plugin: Fehler von „Custom Contact Forms“ ermöglicht Admin-Zugriff

Share on Facebook0Tweet about this on Twitter8Share on Google+0Share on LinkedIn0Email this to someone

Durch einen Fehler im Plugin „Custom Contact Forms“ können Angreifer administrative Rechte zu eurer gesamten WordPress-Seite erhalten. Mittlerweile gibt es aber einen Patch für das defekte WordPress Plugin. Erst vor kurzem gab es bereits einen ähnlichen Hack-Alarm das Plugin „Mailpoet“ betreffend. Hier erfahrt ihr mehr über die Folgen des Defekts in Custom Contacts Form und was ihr jetzt unternehmen müsst, um die Sicherheitslücke zu schließen.

Custom Contact Forms

Custom Contact Forms bietet viele Möglichkeiten Kontaktformulare anzupassen.

Der Patch

Die Entwickler haben bereits reagiert und einen Patch zur Verfügung gestellt. Das reparierte Plugin hat die Versionsnummer 5.1.0.4 und ist auf der Plugin-Webseite von Custom Contact Forms zu finden. Hier könnt ihr die aktuelle Version herunterladen.

Zugriff auf die Datenbank

Der Fehler eröffnet Angreifern den Zugriff auf die Datenbank der WordPress-Installation, die sich herunterladen, verändern und wieder hochladen lässt. Da hier auch die Benutzerverwaltung einer WordPress-Installation gespeichert ist, können Angreifer diese manipulieren und erhalten durch die geänderten Rechte einen Zugriff auf die gesamte WordPress-Installation. Problematisch ist vor allem, dass sich über die betroffenen Webseiten Schadsoftware an die Besucher verteilen lässt. Noch einfacher wird die Verbreitung der schädlichen Software, wenn Sicherheitslücken in Flashplayer oder Browser vorhanden sind.

Zu viel Zeit vergangen?

Nachdem das Unternehmen Sucuri den Defekt entdeckt hatte, wurde dieser umgehend an die Entwickler gemeldet – doch leider ohne Rückmeldung. Seit der Entdeckung des Fehlers vergingen so mehrere Wochen, bis sich Sucuri an das WordPress Security-Team wandte. Daraufhin gelang es mit den Entwicklern in Kontakt zu treten. Custom Contact Forms wurde, nach Angaben von Sucuri, das auch den Fehler im E-Mail Plugin Mailpoet entdeckt hatte, über 600.000 Mal installiert.


Josefine

Josefine

Ob Themes, Plug-Ins oder News aus der Community – Es gibt immer etwas Neues zu entdecken! Und da zum Bloggen mehr als Content gehört, liegen mir besonders die kleinen Kniffe und Tricks, die die Nutzerfreundlichkeit von WordPress ausmachen, am Herzen.
Josefine

Letzte Artikel von Josefine (Alle anzeigen)

Share on Facebook0Tweet about this on Twitter8Share on Google+0Share on LinkedIn0Email this to someone

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..