Malware in Wordpress Gravity Forms Plugin weist auf Supply-Chain-Angriff hin

Table of Contents

Am 11. Juli 2025 wurde eine schwerwiegende Supply-Chain-Attacke auf das beliebte WordPress-Plugin Gravity Forms bekannt. Sicherheitsforscher Rafie Muhammad von Patchstack entdeckte Schadcode in der Version 2.9.12, die über die offizielle Website von Gravity Forms heruntergeladen wurde.

Der Vorfall deutet auf eine gezielte Kompromittierung des Lieferprozesses hin: Der Schadcode sendet Systeminformationen an die fragwürdige Domain gravityapi.org, die erst kurz zuvor registriert wurde. Zudem installiert das Plugin über eine versteckte Funktion (update_entry_detail) eine Backdoor, mit der Angreifer beliebigen Code ausführen, neue Admin-Nutzer erstellen oder Dateien hochladen können.

Update & Maßnahmen

  • Die infizierte Version 2.9.12 wurde kurzzeitig verteilt – laut Patchstack nur über manuelle Downloads oder Composer-Installationen.
  • Version 2.9.13 ist jetzt verfügbar und bereinigt.
  • Die Domains gravityapi.org und gravityapi.io wurden durch den Registrar Namecheap suspendiert.
  • Hinweise auf aktive Ausnutzung über IPs wie 193.160.101.6 sind bestätigt.

Empfehlungen für Admins

  • Prüfen Sie Ihre Gravity Forms-Version: Ist sie 2.9.12 oder wurde sie am 10. Juli manuell geladen, sollten Sie sofort aktualisieren.
  • Scannen Sie Ihre Installation auf folgende Indikatoren: Datei bookmark-canonical.php, Aufrufe an gravityapi.org, oder Funktionen wie list_sections.
  • Verwenden Sie Sicherheitslösungen mit signaturbasierter Erkennung wie Patchstack Advanced Hardening.

Related Posts

„Phishing For Gemini“ – Unsichtbare Befehle täuschen Googles KI-Assistenten

Eine neue Angriffstechnik mit dem Namen „Phishing For Gemini“ zeigt, wie sich Googles KI-Assistent für Workspace durch versteckte Anweisungen in HTML-Mails manipulieren lässt. Der entdeckte Prompt-Injection-Exploit stammt von einem Sicherheitsforscher und wurde über die Plattform 0DIN (Submission 0xE24D9E6B) eingereicht.

Read More

Datenschutzvorfall bei Online-Apotheke Volksversand.de

Die Online-Versandapotheke volksversand.de hat einen Datenschutzvorfall gemeldet. Unbekannte Angreifer verschafften sich unbefugten Zugriff auf das IT-System des Unternehmens und konnten dabei auf persönliche Kundendaten zugreifen. Betroffen sind unter anderem Namen, Adressen und E-Mail-Adressen – sensible Zahlungsdaten oder Passwörter seien laut dem Betreiber jedoch nicht kompromittiert worden.

Read More

Ransomware Angriff auf Vergleichsportal guenstiger.de

Am 23. April 2025 gab die guenstiger.de GmbH via LinkedIn bekannt, dass sie in der vergangenen Nacht Opfer einer Ransomware-Attacke wurde. Infolge des Angriffs kommt es aktuell zu technischen Einschränkungen auf der Website sowie in der Kunden­kommunikation. Die IT-Spezialisten des Vergleichsportals arbeiten mit Hochdruck an einer Lösung, während Partner und Kunden gebeten werden, eingehende Nachrichten und Anrufe besonders sorgfältig zu prüfen.

Read More