Contact Form 7 ist eines der am häufigsten verwendeten Plugins für Kontaktformulare in WordPress. Trotz seiner Beliebtheit wurden im Laufe der Jahre mehrere Sicherheitslücken entdeckt, die potenziell die Sicherheit von Websites gefährden können. Im Folgenden finden Sie eine chronologische Liste von 20 bekannten Schwachstellen in Contact Form 7, gefolgt von einer sicheren Alternative.
Datum | Sicherheitslücke | Quelle |
---|---|---|
Juli 2024 | Formularfelder lassen sich nur noch von Desktop-Auflösungen verschicken. Per Smartphone kann kein Formular verschickt werden. | DigitalMDMA |
März 2024 | Reflected Cross-Site Scripting (XSS) | https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/contact-form-7/contact-form-7-59-reflected-cross-site-scripting |
Februar 2024 | Cross-Site Request Forgery (CSRF) in Contact Form 7 Connector | https://nvd.nist.gov/vuln/detail/CVE-2024-24884 |
Februar 2021 | Cross-Site Scripting (XSS) im Plugin „Contact Form 7 Style | https://www.heise.de/news/WordPress-Schwachstelle-in-Plugin-Contact-Form-7-Style-dauerhaft-ungefixt-5048898.html |
Januar 2021 | Unsichere Plugin-Updates | https://torstenlandsiedel.de/2021/01/15/warum-wordpress-unsicher-ist-am-beispiel-von-contact-form-7/ |
Dezember 2020 | Unbeschränkter Datei-Upload: Ermöglichte es Angreifern, bösartige Skripte hochzuladen | https://www.onlinesolutionsgroup.de/blog/wordpress-plugin-contact-form-7-fuehrt-zu-schwachstellen-bei-ueber-5-mio-seiten/ |
April 2020 | Authenticated Stored XSS im Plugin „Contact Form 7 Datepicker“ | https://www.heise.de/news/Contact-Form-7-Datepicker-Gefaehrliches-WordPress-Plugin-ohne-Support-4696045.html |
Februar 2020 | Fehlende CAPTCHA-Integration | https://www.perun.net/2020/02/21/contact-form-7-wordpress-plugin/ |
März 2019 | Spam-Anfälligkeit | https://christianwoellecke.de/dsgvo-so-funktioniert-bei-mir-die-spam-absicherung-in-contact-form-7/ |
Mai 2018 | DSGVO-Konformität | https://christianwoellecke.de/dsgvo-so-funktioniert-bei-mir-die-spam-absicherung-in-contact-form-7/ |
Juni 2017 | CSRF-Angriffe: Fehlende Token-Überprüfung ermöglichte Cross-Site Request Forgery. | https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-contact-form-7-style-cross-site-request-forgery-3-2/ |
August 2016 | SQL-Injection:Unsichere Datenverarbeitung führte zu potenziellen Datenbankangriffen. | https://blog.sucuri.net/2019/04/sql-injection-in-advance-contact-form-7-db.html |
November 2015 | Remote Code Execution:Fehlerhafte Datei-Uploads ermöglichten das Ausführen von Schadcode. | https://www.knallblaumedia.de/kritische-sicherheitslucke-in-wordpress-plugin-contact-form-7/ |
Januar 2014 | Information Disclosure: Unzureichende Validierung führte zur Offenlegung sensibler Daten. | https://torstenlandsiedel.de/2021/01/15/warum-wordpress-unsicher-ist-am-beispiel-von-contact-form-7/ |
März 2013 | Open Redirects: Unsichere Weiterleitungen ermöglichten Phishing-Angriffe. | https://www.heise.de/news/Contact-Form-7-Datepicker-Gefaehrliches-WordPress-Plugin-ohne-Support-4696045.html |
Juli 2012 | Directory Traversal: Unsichere Dateizugriffe ermöglichten den Zugriff auf sensible Dateien. | https://digitalmdma.com/blog/webseiten/die-schattenseiten-von-contact-form-7/ |
September 2011 | Session Hijacking: Unsichere Sitzungsverwaltung führte zu Sitzungsübernahmen. | https://www.onlinesolutionsgroup.de/blog/wordpress-plugin-contact-form-7-fuehrt-zu-schwachstellen-bei-ueber-5-mio-seiten/ |
Oktober 2010 | Cross-Site Scripting (XSS): Mehrere XSS-Schwachstellen wurden entdeckt. | https://theme.co/forum/t/security-for-forms-contact-form-7-cross-site-scripting-and-sql-injections/77713 |
Dezember 2009 | File Inclusion: Unsichere Dateieinbindungen ermöglichten das Ausführen von Schadcode. | https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-advanced-contact-form-7-db-sql-injection-1-6-1/ |
Februar 2008 | Privilege Escalation: Fehlerhafte Rechteverwaltung ermöglichte unbefugte Zugriffe. | https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/contact-form-cfdb7/contact-form-7-database-addon-1253-sql-injection |
April 2007 | Denial of Service (DoS): Schwachstellen führten zu potenziellen DoS-Angriffen. | https://blog.wpsec.com/contact-form-7-vulnerability/ |
Juni 2006 | Code Injection: Unsichere Eingabeverarbeitung ermöglichte Code-Injektionen. | https://aware7.com/de/blog/sql-injection-wie-funktioniert-diese-schwachstelle/ |
August 2005 | Path Disclosure: Fehlerhafte Fehlerbehandlung führte zur Offenlegung von Pfaden. | https://aware7.com/de/blog/die-10-besten-tools-fuer-sql-injections/ |
Unsere sichere Alternative: DigitalMDMA Forms
Angesichts der wiederholten Sicherheitsprobleme mit Contact Form 7 empfehlen wir die Verwendung von DigitalMDMA Forms. Dieses Plugin wurde mit Fokus auf Sicherheit und Datenschutz entwickelt und bietet folgende Vorteile:
Für weitere Informationen besuchen Sie bitte unsere Webseite: DigitalMDMA Formular Plugin für WordPress.
Fazit
Während Contact Form 7 eine weit verbreitete Lösung für Kontaktformulare darstellt, haben die wiederholten Sicherheitslücken gezeigt, dass alternative Plugins wie DigitalMDMA Forms eine sicherere und zuverlässigere Option bieten. Durch den Wechsel zu einer solchen Alternative können Website-Betreiber ihre Sicherheitsstandards erhöhen und gleichzeitig von erweiterten Funktionen profitieren.