Am 16. Januar 2025 wurde über eine schwerwiegende Sicherheitslücke im beliebten WordPress-Plugin Everest Forms bekannt – ein Plugin, das über 100.000 aktive Installationen zählt. Die Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung beliebige Dateien hochzuladen, auszulesen und sogar zu löschen. Daraus resultiert das Risiko einer Remote Code Execution, womit Angreifer schädlichen PHP-Code auf den Server laden können, was zu einer kompletten Übernahme der Website führen kann.
Die Schwachstelle liegt im Formatierungsprozess der Upload-Felder des Plugins, genauer in der Methode, die für die Verarbeitung und Verschiebung hochgeladener Dateien zuständig ist. Es fehlt an einer adäquaten Validierung der Dateitypen und Pfade, sodass beispielsweise eine CSV- oder TXT-Datei mit bösartigem PHP-Code in eine .php-Datei umbenannt und im öffentlich zugänglichen Upload-Verzeichnis abgelegt werden kann. Zudem erlaubt die unsichere Nutzung der rename()-Funktion auch das Auslesen und Löschen kritischer Dateien, wie der wp-config.php, wodurch ein komplettes Site-Takeover möglich wird.
Die technische Analyse ergab, dass die Schwachstelle in Everest Forms Versionen bis einschließlich 3.0.9.4 besteht. Bereits am 13. Februar 2025 wurden Nutzer der Wordfence Premium-, Care- und Response-Services durch eine spezielle Firewall-Regel geschützt, während Nutzer der kostenlosen Version ab dem 15. März 2025 denselben Schutz erhielten.
Die Entwickler von Everest Forms reagierten prompt und veröffentlichten am 20. Februar 2025 ein Update auf Version 3.0.9.5, das die Schwachstelle behebt. Website-Betreiber werden dringend aufgefordert, das Update umgehend zu installieren, um ihre Systeme vor einem möglichen Angriff zu schützen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: