CVE-2026-14487: Kritisk fejl i Simple Coherent Form
Kritisk WordPress-plugin-fejl lader hackere slette filer på din hjemmeside og overtage den fuldstændigt uden login.
Hvad er det?
WordPress-pluginnet Simple Coherent Form (version 2.4.13 og ældre) indeholder en alvorlig fejl i den funktion, der sletter uploadmapper (removeUploadDir). Fejlen betyder, at en angriber uden nogen form for login kan slette vilkårlige filer på din webserver. Det er muligt, fordi pluginnet udsteder en gyldig adgangsnøgle (kaldet en nonce) til alle besøgende — selv dem uden konto — og fordi den ekstra sikkerhedskontrol kan omgås med oplysninger, der er gemt direkte i pluginkoden. Fejltypen hedder path traversal (CWE-22), og den er klassificeret som kritisk med en score på 9,1 ud af 10.
Hvem rammer det?
Fejlen rammer alle WordPress-hjemmesider, der har pluginnet Simple Coherent Form installeret og aktiveret i version 2.4.13 eller tidligere. Du behøver ikke have lavet noget forkert — er pluginnet installeret, er du sårbar. Det gælder uanset om du er webshop, håndværker, konsulent eller forening.
Hvad kan ske?
En angriber kan:
- Slette kritiske filer på din server — herunder
wp-config.php, som indeholder adgangskoder til din database. - Udføre vilkårlig kode på serveren (remote code execution) — dvs. overtage hele hjemmesiden og den server, den kører på.
- Installere malware, oprette skjulte administratorbrugere eller videredistribuere din hjemmeside til at angribe dine kunder.
- Slette dit indhold, dine ordrer eller dine kundedata permanent.
Fortrolighed af data er ikke direkte påvirket (C=NONE), men integritet og tilgængelighed er begge maksimalt truede.
Hvor alvorligt er det?
CVSS-scoren er 9,1 ud af 10 — Kritisk. Angrebet kræver ingen login, ingen særlige rettigheder og ingen handling fra dig eller dine brugere. Det kan udføres fra internettet af hvem som helst. Den eneste begrænsning er, at angriberen skal kende til sårbarheden — og med en offentlig CVE-registrering er det information, alle kan finde.
Hvad gør jeg nu?
Handl hurtigt. Følg disse trin i prioriteret rækkefølge:
- Deaktivér eller afinstallér pluginnet straks — gå til WordPress-admin → Plugins, find Simple Coherent Form og klik ‘Deaktiver’. Hvis der ikke er en opdateret version tilgængelig, bør du afinstallere det.
- Opdatér pluginnet — er en ny version udkommet, opdatér til den nyeste version øjeblikkeligt via Plugins → Tilgængelige opdateringer.
- Tjek om din wp-config.php er intakt — kontakt din webhost eller IT-ansvarlige og bed dem verificere, at filen stadig eksisterer og ikke er ændret.
- Skift adgangskoder til din database og WordPress-admin — som en sikkerhedsforanstaltning, i tilfælde af at adgangsoplysninger er kompromitteret.
- Gennemgå serverlogfiler — bed din webhost om at tjekke logfiler for mistænkelig aktivitet mod endpointet
scf_get_id_uploadogremoveUploadDir. - Lav en backup og restore om nødvendigt — har du en nylig backup fra før 8. juli 2026, kan du gendanne siden til en sikker tilstand.
Handl inden for 24 timer
Vi anbefaler, at du deaktiverer Simple Coherent Form-pluginnet med det samme, indtil udvikleren udgiver en rettet version. Denne sårbarhed er triviel at udnytte for en angriber og kan resultere i fuldstændigt tab af kontrol over din hjemmeside. Kontakt din webhost eller en IT-sikkerhedspartner, hvis du er usikker på, om din side allerede er blevet kompromitteret — det er langt lettere at forebygge end at rydde op efter et angreb.
Tidslinje
Konkrete eksempler
Angriber sletter wp-config.php og overtager siden
En angriber besøger din WordPress-side og kalder det åbne endpoint scf_get_id_upload, som automatisk returnerer en gyldig nonce (engangsnøgle). Herefter bruger angriberen en forudsigelig hash — beregnet ud fra en hardkodet salt i pluginkoden — til at kalde slettefunktionen med stien ../../wp-config.php. Filen slettes, hjemmesiden går ned, og angriberen kan nu geninstallere WordPress med egne admin-oplysninger og overtage hele siden.
Masseangreb via automatiseret scanner
Et botnet scanner systematisk millioner af WordPress-sider for tilstedeværelsen af Simple Coherent Form-pluginnet. Alle sårbare sider identificeres inden for timer efter CVE-offentliggørelsen. Scriptet udfører automatisk filsletningen og placerer en bagdør (webshell) på serveren, så angriberen kan vende tilbage når som helst — uden at du nødvendigvis opdager det med det samme.
Sletning af uploadmapper ødelægger webshop
En konkurrent eller en hacker med ondsindede hensigter sletter centrale uploadmapper på din WooCommerce-webshop via sårbarheden. Produktbilleder, fakturaer og downloadbare filer forsvinder øjeblikkeligt. Hjemmesiden er ude af drift, kunder kan ikke handle, og genetableringen tager dage — med omdømmeskade og tabt omsætning til følge.
Ofte stillede spørgsmål
Hvordan ved jeg, om jeg bruger det ramte plugin?
Log ind i dit WordPress-dashboard og gå til Plugins → Installerede plugins. Søg efter ‘Simple Coherent Form’. Er det installeret og aktiveret i version 2.4.13 eller ældre, er du sårbar. Versionsnummeret ses ud for pluginnet på listen.
Kan jeg blive angrebet, selvom min hjemmeside er lille og ukendt?
Ja. Hackere bruger automatiserede programmer, der scanner tusindvis af hjemmesider i minuttet for kendte sårbarheder. Din hjemmesides størrelse eller popularitet har ingen betydning — det afgørende er, om det sårbare plugin er installeret.
Hvad sker der, hvis wp-config.php bliver slettet?
Filen
wp-config.phper hjernerne i din WordPress-installation. Slettes den, stopper din hjemmeside med at fungere øjeblikkeligt. Derudover åbner det mulighed for, at en angriber kan geninstallere WordPress med egne indstillinger og dermed overtage hele siden og dens database.Er der en officiel rettelse fra pluginudvikleren?
På tidspunktet for CVE-offentliggørelsen den 8. juli 2026 er der ikke bekræftet en officiel patched version. Hold øje med pluginudviklerens opdateringer i WordPress Plugin-biblioteket, og abonnér eventuelt på sikkerhedsadvarsler fra WPScan eller Wordfence.
Kan jeg bare lade pluginnet ligge deaktiveret i stedet for at slette det?
Deaktivering er bedre end ingenting, men det sikreste er at afinstallere pluginnet helt, indtil en rettet version foreligger. Et deaktiveret plugin efterlader stadig filer på serveren, som under visse omstændigheder kan udgøre en risiko.
Hvad koster det at få hjælp fra en IT-sikkerhedskonsulent?
Det varierer, men en indledende gennemgang og sikring af en WordPress-side tager typisk 1-3 timer for en konsulent. Det er en langt mindre udgift end konsekvenserne af et vellykket angreb — herunder datatab, nedetid, omdømmeskade og eventuelle GDPR-bøder ved brud på persondata.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Simple Coherent Form plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the removeUploadDir function in all versions up to, and including, 2.4.13. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). The scf_get_id_upload endpoint freely issues a valid scf_upload_file_removal nonce to any unauthenticated visitor, and the removal endpoint’s secondary hash check is forgeable offline because it relies on a hardcoded salt embedded in the plugin source, meaning neither control presents a real authorization boundary.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
