Aufgrund einer Sicherheitslücke im WordPress-Plug-in Everest Forms sind potenziell 100.000 Internetseiten angreifbar.
Ein wichtiges Sicherheitsupdate schließt eine “kritische” Schwachstelle im WordPress-Plug-in Everest Forms. Sind Attacken erfolgreich, können Angreifer Schadcode ausführen und im schlimmsten Fall die volle Kontrolle über Websites erlangen.
Davor warnt Wordfence in einem Beitrag. Sie geben an, dass die Lücke (CVE-2025-1128) über ihr Bug-Bounty-Programm gemeldet wurde. An der Schwachstelle sollen entfernte Angreifer ohne Authentifizierung ansetzen können. Darüber können sie Schadcode hochladen, umso mit WordPress erstellte Internetseiten zu kompromittieren.
Gefährliche Attacken möglich
Everest Forms weist der Plug-in-Website zufolge mehr als 100.000 aktive Installationen auf. Damit kann man unter anderem Kontaktformulare aufsetzen. Der Fehler findet sich den Sicherheitsforschern zufolge in der EVF_Form_Fields-Upload-Klasse.
Aufgrund von unzureichenden Überprüfungen können Angreifer an dieser Stelle Schadcode hochladen und Dateien einsehen und sogar löschen. Wie solche Attacken im Detail ablaufen können, erläutert Wordfence in seinem Beitrag zur Sicherheitsproblematik.
Weil sie auf diesem Weg auch die wp-config.php-Datei manipulieren können, sind komplette Übernahmen von Websites vorstellbar. Bislang gibt es keine Hinweise, dass Angreifer die Sicherheitslücke bereits ausnutzen.
Sicherheitsupdate verfügbar
Die Sicherheitsforscher geben an, den Plug-in-Anbieter Anfang Februar 2025 über das Sicherheitsproblem informiert zu haben. Das Sicherheitsupdate in Form von Everest Forms 3.0.9.5 ist nun verfügbar. Alle vorigen Ausgaben sollen bedroht sein. Web-Admins sollten sicherstellen, dass die aktuelle Version installiert ist.