Angriff gegen den Datepicker von WordPress
09. April 2020
Das Plugin soll einer Warnmeldung von Sicherheitsforschern von Wordfence zufolge 100.000 Installationen aufweisen. Es ist eine Ergänzung des Plugins Contact Form 7, mit dem man damit erstellte Formulare um spezielle Datumsfelder ergänzen kann. Contact Form 7 ist aber nicht von der Sicherheitslücke betroffen. Dieses Plugin weist derzeit über 5 Millionen aktive Installationen auf. Eine CVE-Nummer für die Schwachstelle wurde bislang noch nicht vergeben.
Persistente XSS-Attacke
Die Sicherheitsforscher berichten, dass Websites mit dem verwundbaren Plugin über eine Authenticated-Stored-Cross-Site-Scripting-Lücke angreifbar sind. Dabei handelt es sich um eine persistente XSS-Attacke, was besonders gefährlich ist.
Um einen persistenten Schadcode einzufügen, braucht der Angreifer meist nicht die Hilfe eines Nutzers. Er kann vielmehr selbst den präparierten Code innerhalb der Anwendung speichern, sodass dieser beliebige Zeit später von einem Nutzer aktiviert wird. Der Schadcode wird dazu beispielsweise als Eintrag in ein Gästebuch auf dem Server abgelegt. Dazu reicht es in ungeschützten Anwendungen aus, wenn der injizierte Code anstatt des Gästebuchtextes eingegeben wird. Ein persistenter Angriff verbleibt in der kompromittierten Anwendung und ist für jeden Nutzer potentiell gefährlich. Es gibt bei dieser Art des Angriffs kaum Schutz auf der Nutzerseite, da der Schadcode sofort beim Betrachten der Seite ausgeführt wird.
Weg damit!
Da die Entwickler das Plugin Contact Form 7 Datepicker offiziell nicht mehr unterstützen und WordPress es bereits aus der Plugin-Sektion offline genommen hat, sollten Nutzer es auf ihren Websites zschnellstmöglich deinstallieren.
Haben Sie WordPress mit Datepicker?
Haben Sie Ihre Website mit WordPress realisieren lassen und haben dieses gefährliche Plugin installiert? Oder wissen Sie nicht, ob dieses Plugin installiert ist? Wir als WordPress Agentur helfen Ihnen gerne weiter, melden Sie sich bei uns!