Beim recht populären WordPress-Plugin MW WP Form hat Wordfence, spezialisierter Betreiber von Sicherheitserweiterungen für WordPress, eine eklatante Sicherheitslücke gefunden, die hier beschrieben ist (engl.):
https://www.wordfence.com/blog/2023/12/update-asap-critical-unauthenticated-arbitrary-file-upload-in-mw-wp-form-allows-malicious-code-execution/
Weltweit dürften so 200.000 MW WP Form Plugins installiert sein.
Schon am 24. November 2023 hat das Wordfence-Team eine Schwachstelle gefunden. Mit ihr soll es demnach möglich sein, auch ohne Anmeldung oder Authentifizierung beliebige Dateien hochzuladen.
Beliebiger Datei-Upload unter Umständen möglich
In der etwas verquasten und nebulösen Sprache, in der Probleme mit Systemen und eventuell vorhandene Lösungen gerne beschrieben werden, heißt es, man habe seitens Wordfence danach „den Prozess der verantwortungsbewussten Offenlegung eingeleitet.“ Das heißt: Man hat den Hersteller des Plugins, Web-Soudan, kontaktiert und umgehend Antwort erhalten. Am 29.November 2023 erschien eine gepachte Version, die das Problem beseitigte.
Angreifer hätten beliebige Dateien, einschließlich PHP-Dateien, hochladen können und Schadcode ausführen können, wenn die Option „Anfragedaten in der Datenbank speichern“ in den Einstellungen des Plugins aktiviert ist.
Plugin-Update dringend empfohlen
Alle Nutzer des MW WP Plugins sollten ihre Websites so schnell wie möglich mit der neuesten gepatchten Version von MW WP Form ausstatten. Dies sollte mit WordPress und der Pluginverwaltung möglich sein. Das aktualisierte Release trägt die Versionsnummer 5.0.2.