Das WordPress-Plug-in SureForms kommt auf mehr als 200.000 aktive Installationen. IT-Sicherheitsforscher haben eine Sicherheitslücke darin entdeckt, die die vollständige Kompromittierung von verwundbaren WordPress-Instanzen ermöglicht. Updates stehen bereit, die die Lücke schließen.
In einem Blog-Beitrag analysieren IT-Forscher von Wordfence die Schwachstelle. Das Plug-in heißt in voller Länge "SureForms – Drag and Drop Form Builder for WordPress". In der Funktion delete_entry_files() findet keine ausreichende Prüfung von Dateipfaden statt. Dadurch können Angreifer aus dem Netz ohne vorherige Anmeldung beliebige Dateien auf dem Server löschen. Das kann schließlich zur Ausführung beliebigen Codes aus der Ferne führen, wenn bösartige Akteure etwa die "wp-config.php"-Datei löschen und so die WordPress-Instanz in den Setup-Modus versetzen und damit an eine von ihnen kontrollierte Datenbank anschließen (CVE-2025-6691 / EUVD-2025-20783, CVSS 8.1, Risiko "hoch").
Betroffen ist etwa SureForms 1.7.3. Die Entwickler haben gleich mehrere Versionszweige mit Aktualisierungen versehen. Die Fassungen SureForms 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 und 0.0.14 stehen bereit und stopfen das Sicherheitsleck.
IT-Verantwortliche mit WordPress-Instanzen sollten prüfen, ob die von ihnen betreuten Systeme bereits auf diesen aktualisierten Ständen sind. Gegebenenfalls sollten sie die Aktualisierung rasch anstoßen, um die Angriffsfläche zu minimieren.
Eine ähnliche Sicherheitslücke wurde bereits vergangene Woche in dem WordPress-Plug-in Forminator bekannt. Das Plug-in kommt sogar auf mehr als 600.000 Webseiten zum Einsatz. Auch dort ermöglichte die Lücke Angreifern, die "wp-config.php" zu löschen und damit in weiterer Folge die komplette Instanz zu übernehmen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo