De plugin “contact-form-7-datepicker”, een toevoeging voor de populaire plugin ContactForm7, bevat een ernstig beveiliginslek. Met contact-form-7-datepicker is het mogelijk een datumveld-kiezer toe te voegen aan ContactForm7 formulieren.

De fout is dusdanig ernstig dat contact-form-7-datepicker inmiddels uit de WordPress bibliotheek is verwijderd.

Het betreft hier een XSS (Cross-site scrpting) probleem.

Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. (Wikipedia)

De makers van de plugin zijn niet van zins het probleem op te lossen(!) en dus blijft de kwetsbaarheid bestaan. Op dit moment is de plugin actief op ca. 100.000 websites. Ons zéér dringende advies is om, wanneer u de plugin gebruikt, deze per direct te verwijderen.

Geen zorgen over WordPress onderhoud, software en beveiligingsupdates of geen tijd om uw website up to date te houden? Maak gebruik van onze Managed WordPress oplossing. Kijk hier voor meer informatie.

Meer informatie/bron: Wordfence.