21.12.2020
Schwachstelle
Millionen WordPress-Webseiten gefährdet
Autor: Claudia Maag
TheDigitalArtist/Pixabay
Eine Sicherheitslücke im beliebten Plug-in Contact Form 7 ermöglicht es Angreifern, Dateien jeglichen Typs hochzuladen. Ein Sicherheitsupdate ist verfügbar.
Eine gefährliche Sicherheitslücke im WordPress-Plug-in Contact Form 7 gefährdet Millionen von Word-Press-Webseiten. Gefunden wurde die Schwachstelle von Sicherheitsforschern von Astra, wie «Heise Online» berichtet.
Contact Form 7 ermöglicht es Nutzern, mehrere Kontaktformulare auf einer Webseite hinzuzufügen und ist nach Angaben des Astra-Research-Teams eines der beliebtesten WordPress-Plugins. Auf der entsprechenden WordPress-Seite sind über 5 Millionen aktive Installationen ausgewisen und das Plug-in ist in 62 Sprachen verfügbar.
Wird die Schwachstelle ausgenutzt, könnten Angreifer Dateien eines beliebigen Typs hochladen, heisst es im Blog-Eintrag (englisch). Auserdem könnten die Angreifer eine Web-Shell-Schnittstelle für den Fernzugriff auf Servern platzieren und eigene Befehle ausführen, so «Heise Online». Ob die Schwachstelle bereits ausgenutzt wird, ist momentan nicht bekannt.
Die Sicherheitsforscher haben sich am 16. Dezember 2020 an die Entwickler des Contact-Form-7-Plug-ins gewandt. Bereits einen Tag später stellten diese einen offiziellen Patch zur Verfügung. Das Astra-Research-Team empfiehlt dringend, das Plug-in sofort auf die neuste Version (5.3.2) zu aktualisieren. Hierfür wird mindestens WordPress 5.4 benötigt.
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
World Cybercrime Index
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien.
>>