Wer auf seiner WordPress-Seite das Plugin Drag and Drop Multiple File Upload – Contact Form 7 in Version 1.3.9.5 oder älter einsetzt, sollte umgehend handeln. Die am 5. März 2026 veröffentlichte Schwachstelle (CVE-2026-3459) erlaubt es völlig unbekannten, nicht eingeloggten Angreifern, beliebige Dateien auf den Webserver hochzuladen – ohne jegliche Authentifizierung. Im schlimmsten Fall kann darüber schadhafter Code direkt auf dem Server ausgeführt werden, was eine vollständige Kompromittierung der Website bedeutet. Der CVSS-Score liegt bei 8.1 (Hoch).
Das Problem steckt in der Funktion dnd_upload_cf7_upload, die hochgeladene Dateitypen nicht ausreichend prüft. Die Lücke greift konkret dann, wenn ein Formular auf der Seite ein Datei-Upload-Feld enthält, das mit * als erlaubtem Dateityp konfiguriert ist – also alle Dateitypen akzeptiert.
Bin ich betroffen? Im WordPress-Backend unter Plugins nachschauen, ob das Plugin installiert ist und welche Version läuft. Jede Version bis einschließlich 1.3.9.5 ist verwundbar. Wer Contact Form 7 mit Datei-Upload-Feldern betreibt und das Feld auf * gesetzt hat, ist besonders exponiert.
Empfehlung: Sofort auf Version 1.3.9.6 oder neuer aktualisieren – der Patch steht bereit. Bis zum Update als Sofortmaßnahme das Datei-Upload-Feld im Formular deaktivieren oder den erlaubten Dateityp auf konkrete Formate wie .pdf oder .jpg einschränken.
Weitere Details gibt es direkt in der Wordfence-Datenbank: Wordfence CVE-2026-3459
