Am 11. Juli 2025 wurde eine schwerwiegende Supply-Chain-Attacke auf das beliebte WordPress-Plugin Gravity Forms bekannt. Sicherheitsforscher Rafie Muhammad von Patchstack entdeckte Schadcode in der Version 2.9.12, die über die offizielle Website von Gravity Forms heruntergeladen wurde.
Der Vorfall deutet auf eine gezielte Kompromittierung des Lieferprozesses hin: Der Schadcode sendet Systeminformationen an die fragwürdige Domain gravityapi.org, die erst kurz zuvor registriert wurde. Zudem installiert das Plugin über eine versteckte Funktion (update_entry_detail) eine Backdoor, mit der Angreifer beliebigen Code ausführen, neue Admin-Nutzer erstellen oder Dateien hochladen können.
Update & Maßnahmen
- Die infizierte Version 2.9.12 wurde kurzzeitig verteilt – laut Patchstack nur über manuelle Downloads oder Composer-Installationen.
- Version 2.9.13 ist jetzt verfügbar und bereinigt.
- Die Domains
gravityapi.orgundgravityapi.iowurden durch den Registrar Namecheap suspendiert. - Hinweise auf aktive Ausnutzung über IPs wie
193.160.101.6sind bestätigt.
Empfehlungen für Admins
- Prüfen Sie Ihre Gravity Forms-Version: Ist sie 2.9.12 oder wurde sie am 10. Juli manuell geladen, sollten Sie sofort aktualisieren.
- Scannen Sie Ihre Installation auf folgende Indikatoren: Datei
bookmark-canonical.php, Aufrufe angravityapi.org, oder Funktionen wielist_sections. - Verwenden Sie Sicherheitslösungen mit signaturbasierter Erkennung wie Patchstack Advanced Hardening.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: