Kritische Sicherheitslücke in Everest Forms gefährdet über 100.000 WordPress-Seiten

Am 16. Januar 2025 wurde über eine schwerwiegende Sicherheitslücke im beliebten WordPress-Plugin Everest Forms bekannt – ein Plugin, das über 100.000 aktive Installationen zählt. Die Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung beliebige Dateien hochzuladen, auszulesen und sogar zu löschen. Daraus resultiert das Risiko einer Remote Code Execution, womit Angreifer schädlichen PHP-Code auf den Server laden können, was zu einer kompletten Übernahme der Website führen kann.

Die Schwachstelle liegt im Formatierungsprozess der Upload-Felder des Plugins, genauer in der Methode, die für die Verarbeitung und Verschiebung hochgeladener Dateien zuständig ist. Es fehlt an einer adäquaten Validierung der Dateitypen und Pfade, sodass beispielsweise eine CSV- oder TXT-Datei mit bösartigem PHP-Code in eine .php-Datei umbenannt und im öffentlich zugänglichen Upload-Verzeichnis abgelegt werden kann. Zudem erlaubt die unsichere Nutzung der rename()-Funktion auch das Auslesen und Löschen kritischer Dateien, wie der wp-config.php, wodurch ein komplettes Site-Takeover möglich wird.

Die technische Analyse ergab, dass die Schwachstelle in Everest Forms Versionen bis einschließlich 3.0.9.4 besteht. Bereits am 13. Februar 2025 wurden Nutzer der Wordfence Premium-, Care- und Response-Services durch eine spezielle Firewall-Regel geschützt, während Nutzer der kostenlosen Version ab dem 15. März 2025 denselben Schutz erhielten.

Die Entwickler von Everest Forms reagierten prompt und veröffentlichten am 20. Februar 2025 ein Update auf Version 3.0.9.5, das die Schwachstelle behebt. Website-Betreiber werden dringend aufgefordert, das Update umgehend zu installieren, um ihre Systeme vor einem möglichen Angriff zu schützen.

Related Posts

Privilege Escalation in NetScaler Console und Agent (CVE-2024-12284)

Citrix hat in einem aktuellen Sicherheitsbulletin auf eine kritische Schwachstelle in der NetScaler Console (ehemals NetScaler ADM) sowie im NetScaler Agent hingewiesen. Die betroffenen Versionen sind:

Read More

CVE-2022-31631: PDO::quote() in PDO_SQLite führt zu SQL Injection

Eine kritische Sicherheitslücke (CVE-2022-31631) in PHPs PDO_SQLite-Komponente wurde veröffentlicht. In betroffenen PHP-Versionen (8.0.x vor 8.0.27, 8.1.x vor 8.1.15 und 8.2.x vor 8.2.2) kann die Funktion PDO::quote() bei der Verarbeitung von benutzerdefinierten, überlangen Strings einen unzureichend zitierten String zurückliefern – konkret lediglich ein einzelnes Apostroph.

Read More

Masterportal: Veraltete Elliptic-Bibliothek erlaubt Extraktion privater Schlüssel

Im Rahmen unseres Security Blogs weisen wir auf eine kritische Sicherheitslücke in der verwendeten Elliptic-Bibliothek hin, die Masterportal betrifft. Die Schwachstelle ermöglicht es, bei der ECDSA-Signatur eines manipulierten Inputs – etwa eines Strings oder einer Zahl, wie sie etwa aus JSON-Netzwerkeingaben stammen könnten – den privaten Schlüssel zu extrahieren. Die CVSS4.0 Bewertung ist mit 9.0/10 als kritisch eingestuft (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N).

Read More