Kritische Lücke in Contact-Form 7 Date-Picker

Heute wurde eine kritische Lücke in Contact-Form 7 Date-Picker öffentlich. Dabei handelt es sich um ein Zusatzplugin zum beliebten Contact-Form 7, welches ich auch selbst einsetze. Sofern mich meine Erinnerung nicht trügt, habe ich dieses Zusatzplugin noch nie eingesetzt, sehen Sie aber gerne selbst in Ihrer Webseite nach.

Die Einstufung „Kritisch“ ist die höchst-mögliche Einstufung, es wird geraten, die Nutzung umgehend zu vermeiden, vermutlich ist durch die Sicherheitslücke Remote Code Execution, also Ausführung von Fremdcode auf dem Server, möglich und nicht besonders schwierig – das sind normalerweise die Kriterien für eine solche Einstufung.

Ich habe mir die Lücke mangels Zeit und Interesse bisher jedoch nicht im Detail angesehen, falls ich etwas davon finden sollte, werde ich die Meldung updaten. Stattdessen gibt’s (immerhin) etwas allgemeine Background-Info.

Hintergrund-Informationen

Bei der Lücke handelt es sich um XSS, also sogenanntes Cross-Site-Scripting. Eine häufige Fehlannahme ist, dass durch XSS „lediglich“ Clients (Seitenbesucher) angegriffen werden können. Das ist nicht so. Ebenso wenig schützen Content Security Policies, eine moderne Server-Browser-Sicherheitseinstellung, zu 100% vor XSS – die CSP schützt eben die Clients, auch andere Maßnahmen wie CORS- oder CSRF-Cookies u.ä. erschweren Angriffe in vielen Fällen lediglich, sind also als Migitation zu betrachen.

Bleiben Sie sicher, in diesen Zeiten sind Wurstfinger besonders aktiv, weil keiner hinschaut.

MG