CVE-2026-14487
Kritisk

CVE-2026-14487: Kritisk fejl i Simple Coherent Form

Kritisk WordPress-plugin-fejl lader hackere slette filer på din hjemmeside og overtage den fuldstændigt uden login.

CVSS Score
9.1
Offentliggjort
08/07/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

WordPress-pluginnet Simple Coherent Form (version 2.4.13 og ældre) indeholder en alvorlig fejl i den funktion, der sletter uploadmapper (removeUploadDir). Fejlen betyder, at en angriber uden nogen form for login kan slette vilkårlige filer på din webserver. Det er muligt, fordi pluginnet udsteder en gyldig adgangsnøgle (kaldet en nonce) til alle besøgende — selv dem uden konto — og fordi den ekstra sikkerhedskontrol kan omgås med oplysninger, der er gemt direkte i pluginkoden. Fejltypen hedder path traversal (CWE-22), og den er klassificeret som kritisk med en score på 9,1 ud af 10.

Hvem rammer det?

Fejlen rammer alle WordPress-hjemmesider, der har pluginnet Simple Coherent Form installeret og aktiveret i version 2.4.13 eller tidligere. Du behøver ikke have lavet noget forkert — er pluginnet installeret, er du sårbar. Det gælder uanset om du er webshop, håndværker, konsulent eller forening.

Hvad kan ske?

En angriber kan:

  • Slette kritiske filer på din server — herunder wp-config.php, som indeholder adgangskoder til din database.
  • Udføre vilkårlig kode på serveren (remote code execution) — dvs. overtage hele hjemmesiden og den server, den kører på.
  • Installere malware, oprette skjulte administratorbrugere eller videredistribuere din hjemmeside til at angribe dine kunder.
  • Slette dit indhold, dine ordrer eller dine kundedata permanent.

Fortrolighed af data er ikke direkte påvirket (C=NONE), men integritet og tilgængelighed er begge maksimalt truede.

Hvor alvorligt er det?

CVSS-scoren er 9,1 ud af 10 — Kritisk. Angrebet kræver ingen login, ingen særlige rettigheder og ingen handling fra dig eller dine brugere. Det kan udføres fra internettet af hvem som helst. Den eneste begrænsning er, at angriberen skal kende til sårbarheden — og med en offentlig CVE-registrering er det information, alle kan finde.

Hvad gør jeg nu?

Handl hurtigt. Følg disse trin i prioriteret rækkefølge:

  1. Deaktivér eller afinstallér pluginnet straks — gå til WordPress-admin → Plugins, find Simple Coherent Form og klik ‘Deaktiver’. Hvis der ikke er en opdateret version tilgængelig, bør du afinstallere det.
  2. Opdatér pluginnet — er en ny version udkommet, opdatér til den nyeste version øjeblikkeligt via Plugins → Tilgængelige opdateringer.
  3. Tjek om din wp-config.php er intakt — kontakt din webhost eller IT-ansvarlige og bed dem verificere, at filen stadig eksisterer og ikke er ændret.
  4. Skift adgangskoder til din database og WordPress-admin — som en sikkerhedsforanstaltning, i tilfælde af at adgangsoplysninger er kompromitteret.
  5. Gennemgå serverlogfiler — bed din webhost om at tjekke logfiler for mistænkelig aktivitet mod endpointet scf_get_id_upload og removeUploadDir.
  6. Lav en backup og restore om nødvendigt — har du en nylig backup fra før 8. juli 2026, kan du gendanne siden til en sikker tilstand.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du deaktiverer Simple Coherent Form-pluginnet med det samme, indtil udvikleren udgiver en rettet version. Denne sårbarhed er triviel at udnytte for en angriber og kan resultere i fuldstændigt tab af kontrol over din hjemmeside. Kontakt din webhost eller en IT-sikkerhedspartner, hvis du er usikker på, om din side allerede er blevet kompromitteret — det er langt lettere at forebygge end at rydde op efter et angreb.

Tidslinje

08/07/2026
CVE offentliggjort
National Vulnerability Database (NVD) registrerer og offentliggør CVE-2026-14487 med en kritisk CVSS-score på 9,1. Sårbarheden er nu kendt af offentligheden — herunder potentielle angribere.
08/07/2026
Alle versioner op til 2.4.13 bekræftet sårbare
Det bekræftes, at samtlige versioner af Simple Coherent Form op til og med 2.4.13 er påvirket. Der er på dette tidspunkt ingen tilgængelig patch fra udvikleren.
09/07/2026
Forventet start på automatiseret scanning
Erfaringen viser, at automatiserede angrebsscannere begynder at udnytte offentliggjorte WordPress-sårbarheder inden for 24-72 timer efter offentliggørelse. Hjemmesider med pluginnet er i aktiv risiko.
09/07/2026
Officiel patch fra udvikleren
Der er endnu ikke udgivet en rettet version af pluginnet. Brugere anbefales at følge pluginudviklerens WordPress-side og opdatere så snart en patch foreligger.

Konkrete eksempler

Angriber sletter wp-config.php og overtager siden

En angriber besøger din WordPress-side og kalder det åbne endpoint scf_get_id_upload, som automatisk returnerer en gyldig nonce (engangsnøgle). Herefter bruger angriberen en forudsigelig hash — beregnet ud fra en hardkodet salt i pluginkoden — til at kalde slettefunktionen med stien ../../wp-config.php. Filen slettes, hjemmesiden går ned, og angriberen kan nu geninstallere WordPress med egne admin-oplysninger og overtage hele siden.

Masseangreb via automatiseret scanner

Et botnet scanner systematisk millioner af WordPress-sider for tilstedeværelsen af Simple Coherent Form-pluginnet. Alle sårbare sider identificeres inden for timer efter CVE-offentliggørelsen. Scriptet udfører automatisk filsletningen og placerer en bagdør (webshell) på serveren, så angriberen kan vende tilbage når som helst — uden at du nødvendigvis opdager det med det samme.

Sletning af uploadmapper ødelægger webshop

En konkurrent eller en hacker med ondsindede hensigter sletter centrale uploadmapper på din WooCommerce-webshop via sårbarheden. Produktbilleder, fakturaer og downloadbare filer forsvinder øjeblikkeligt. Hjemmesiden er ude af drift, kunder kan ikke handle, og genetableringen tager dage — med omdømmeskade og tabt omsætning til følge.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

The Simple Coherent Form plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the removeUploadDir function in all versions up to, and including, 2.4.13. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). The scf_get_id_upload endpoint freely issues a valid scf_upload_file_removal nonce to any unauthenticated visitor, and the removal endpoint’s secondary hash check is forgeable offline because it relies on a hardcoded salt embedded in the plugin source, meaning neither control presents a real authorization boundary.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-14487
Offentliggjort
08/07/2026
Sidst opdateret
08/07/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.