Kritische Sicherheitslücke im WordPress-Plugin „Drag and Drop Multiple File Upload – Contact Form 7"

Wer auf seiner WordPress-Seite das Plugin Drag and Drop Multiple File Upload – Contact Form 7 in Version 1.3.9.5 oder älter einsetzt, sollte umgehend handeln. Die am 5. März 2026 veröffentlichte Schwachstelle (CVE-2026-3459) erlaubt es völlig unbekannten, nicht eingeloggten Angreifern, beliebige Dateien auf den Webserver hochzuladen – ohne jegliche Authentifizierung. Im schlimmsten Fall kann darüber schadhafter Code direkt auf dem Server ausgeführt werden, was eine vollständige Kompromittierung der Website bedeutet. Der CVSS-Score liegt bei 8.1 (Hoch).

Das Problem steckt in der Funktion dnd_upload_cf7_upload, die hochgeladene Dateitypen nicht ausreichend prüft. Die Lücke greift konkret dann, wenn ein Formular auf der Seite ein Datei-Upload-Feld enthält, das mit * als erlaubtem Dateityp konfiguriert ist – also alle Dateitypen akzeptiert.

Bin ich betroffen? Im WordPress-Backend unter Plugins nachschauen, ob das Plugin installiert ist und welche Version läuft. Jede Version bis einschließlich 1.3.9.5 ist verwundbar. Wer Contact Form 7 mit Datei-Upload-Feldern betreibt und das Feld auf * gesetzt hat, ist besonders exponiert.

Empfehlung: Sofort auf Version 1.3.9.6 oder neuer aktualisieren – der Patch steht bereit. Bis zum Update als Sofortmaßnahme das Datei-Upload-Feld im Formular deaktivieren oder den erlaubten Dateityp auf konkrete Formate wie .pdf oder .jpg einschränken.

Weitere Details gibt es direkt in der Wordfence-Datenbank: Wordfence CVE-2026-3459

Related Posts

Kritische Sicherheitslücke in Roundcube Webmail – sofortiges Update erforderlich

In Roundcube Webmail wurde eine schwerwiegende Schwachstelle (CVE-2025-49113) entdeckt, die es eingeloggten Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Die Lücke steckt in der Datei-Upload-Funktion, wo ein Parameter nicht korrekt geprüft wird – was sogenannte PHP Object Deserialization ermöglicht. Die US-Behörde CISA hat die Schwachstelle bereits in ihren Katalog aktiv ausgenutzter Lücken aufgenommen, was bedeutet: Sie wird in freier Wildbahn angegriffen.

Read More

Apache ActiveMQ-Lücke führt zu LockBit-Ransomware-Angriff

Eine detaillierte Fallanalyse von The DFIR Report zeigt, wie Angreifer über die seit 2023 bekannte Schwachstelle CVE-2023-46604 in Apache ActiveMQ eingedrungen sind – und das gleich zweimal beim selben Opfer. Der originale Bericht ist hier abrufbar: The DFIR Report, Februar 2026

Read More

Gefälschte Windows-11-Werbung auf Facebook verteilt Passwort- und Krypto-Stealer

Angreifer schalten derzeit bezahlte Facebook-Anzeigen, die täuschend echt nach offiziellen Microsoft-Promotionen aussehen. Wer darauf klickt, landet auf einer nahezu perfekten Kopie der Microsoft-Download-Seite – erkennbar nur an der Adresszeile, die Domains wie ms-25h2-download[.]pro oder ms25h2-update[.]pro zeigt statt microsoft.com. Ein Klick auf „Jetzt herunterladen" liefert keinen Windows-Update, sondern einen 75 MB großen Schädling namens ms-update32.exe, der Passwörter, Browser-Sessions und Krypto-Wallet-Daten stiehlt.

Read More