CVE-2026-9843: Kritisk WordPress-plugin sårbarhed
WordPress-plugin til kontaktformularer lader hackere slette kritiske filer og overtage dit website uden login.
Hvad er det?
Sårbarheden findes i WordPress-pluginet Database for Contact Form 7, WPforms, Elementor forms op til og med version 1.5.1. Den skyldes en fejl i, hvordan pluginet håndterer filstier (den vej computeren bruger til at finde en fil). En angriber kan snyde pluginet til at slette filer, det slet ikke burde røre ved — herunder kritiske systemfiler som wp-config.php, der indeholder adgangskoder til din database. Fejlen kaldes teknisk en path traversal (stinavnsmanipulation), og den er klassificeret som CWE-22.
Hvem rammer det?
Alle WordPress-websites der kører pluginet Database for Contact Form 7, WPforms, Elementor forms i version 1.5.1 eller ældre. Du er i risikogruppen, hvis du bruger dette plugin til at gemme indsendte kontaktformulardata i din WordPress-database. Angriberen behøver ikke at have et login på dit website for at forberede angrebet — men en administrator skal efterfølgende se eller redigere den manipulerede formularindgang for at udløse det.
Hvad kan ske?
Hvis angrebet lykkes, kan hackeren slette vilkårlige filer på din webserver. Det kan føre til:
- Fuldstændig overtagelse af dit website — ved at slette
wp-config.phptvinges WordPress ind i en genopsætningsproces, som angriberen kan udnytte til at koble sin egen database til dit site. - Datatab — vigtige filer, indstillinger og indhold kan blive permanent slettet.
- Malware-injektion — når angriberen har kontrol, kan der installeres bagdøre eller ondsindede scripts.
- Nedetid og omdømmeskade — dit website kan gå ned eller begynde at vise uønsket indhold over for dine besøgende og kunder.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.1 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Angrebet kan udføres over internettet uden forudgående login, og kompleksiteten er lav — det kræver ikke specialudstyr eller avancerede tekniske færdigheder. Den eneste begrænsning er, at en administrator skal klikke på den manipulerede formularindgang for at udløse selve filsletningen. Det gør angrebet lidt sværere, men på ingen måde urealistisk, da mange administratorer løbende gennemgår indsendte formulardata. Fortrolighed (adgang til data) er ikke direkte truet, men integritet og tilgængelighed af dit website er i høj risiko.
Hvad gør jeg nu?
Opdater pluginet hurtigst muligt. Følg disse trin:
- Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins.
- Find pluginet “Database for Contact Form 7, WPforms, Elementor forms” og kontrollér versionsnummeret.
- Opdater til den nyeste version (over 1.5.1), hvis en opdatering er tilgængelig. Klik på “Opdater nu”.
- Hvis ingen opdatering er tilgængelig: Deaktivér og afinstallér pluginet midlertidigt, indtil en patch udgives.
- Gennemgå nylige formularindgange med forsigtighed og undgå at åbne mistænkelige indgange, før pluginet er opdateret.
- Tag en sikkerhedskopi af dit website og din database nu, så du kan gendanne den, hvis noget går galt.
Opdater inden for 24-48 timer
Opdatér pluginet til en version over 1.5.1 med det samme — dette er den vigtigste enkelthandling du kan foretage. Sørg desuden for at have en nylig sikkerhedskopi af dit website liggende, så du kan komme hurtigt tilbage online, hvis noget skulle ske. Overvej at installere en WordPress-sikkerhedsscanner (f.eks. Wordfence eller Sucuri), der automatisk advarer dig ved fremtidige sårbarheder. Har du brug for hjælp til at vurdere din eksponering, er du altid velkommen til at kontakte os hos Auroa.
Tidslinje
Konkrete eksempler
Angriber sletter wp-config.php og overtager websitet
En angriber udfylder din kontaktformular med en særligt konstrueret JSON-nøgle i et af felterne. Nøglen er udformet, så PHP’s bracket-parser omdanner den til en filsti, der peger på wp-config.php. Når du som administrator efterfølgende åbner formularindgangen i WordPress-backend’en for at læse henvendelsen, udløses sletningen automatisk. Dit website går ned, og angriberen kan nu køre WordPress-installationsguiden og koble sin egen database til dit domæne.
Sletning af temafilter skaber kaos og åbner for malware
I stedet for at slette konfigurationsfilen vælger angriberen at slette centrale temafiler eller WordPress-kernefiler. Det får dit website til at crashe med fejlbeskeder, der afslører serversti-information. Angriberen kan bruge denne information til at planlægge et mere målrettet angreb, og i kaosset kan der uploades erstatningsfiler med skjult malware-kode.
Automatiseret massescanning mod alle sårbare WordPress-sites
Hackere bruger automatiserede bots til at scanne internettet for WordPress-sites, der kører den sårbare version af pluginet. Disse bots indsender automatisk manipulerede formularindgange til tusindvis af websites på én gang. Websites hvis administratorer åbner indgangene — noget mange gør dagligt — bliver kompromitteret uden at der er nogen synlig advarsel på forhånd.
Ofte stillede spørgsmål
Kan jeg se, om mit website allerede er blevet angrebet?
Tjek din servers logfiler for usædvanlige aktiviteter, og verificér at kritiske filer som
wp-config.phpstadig er til stede. Du kan også bruge et sikkerhedsplugin som Wordfence til at scanne for ændringer i dine kernefilerne. Er du i tvivl, kan en professionel sikkerhedsgennemgang give dig klarhed.Hvad sker der, hvis wp-config.php bliver slettet?
WordPress kan ikke fungere uden denne fil, da den indeholder databaseforbindelsen og hemmelige sikkerhedsnøgler. Hvis den slettes, vil dit website vise en fejlside og gå i en slags “ny installation”-tilstand — en tilstand en angriber kan udnytte til at tilkoble en anden database og overtage dit site fuldstændigt.
Jeg bruger Contact Form 7, men ikke dette specifikke plugin — er jeg stadig i fare?
Nej, ikke for denne specifikke sårbarhed. Det er udelukkende pluginet Database for Contact Form 7, WPforms, Elementor forms (op til version 1.5.1), der er ramt — ikke selve Contact Form 7-pluginet. Tjek din pluginliste for at se, om du har det sårbare plugin installeret.
Angrebet kræver vel, at en administrator klikker på noget — er risikoen så ikke lille?
Det reducerer risikoen lidt, men ikke tilstrækkeligt. Mange administratorer gennemgår løbende indsendte formularindgange som en del af den daglige drift, og en angriber kan sende en manipuleret indgang og derefter vente. Det er let at camouflere en ondsindet formularindgang som en normal henvendelse, og der kræves ingen særlig handling ud over det, du alligevel ville gøre.
Hjælper det at have et firewall-plugin installeret?
Et webapplikations-firewall-plugin (WAF) som Wordfence kan potentielt blokere kendte angrebsmønstre og give et ekstra lag beskyttelse. Det erstatter dog ikke en opdatering af det sårbare plugin — WAF’en kan omgås, og den bedste beskyttelse er altid at lukke selve hullet ved at opdatere til en rettet version.
Hvad gør jeg, hvis der ikke er en opdatering tilgængelig endnu?
Deaktivér og afinstallér pluginet midlertidigt, indtil udviklerne udgiver en rettelse. Sørg for at tage en fuld sikkerhedskopi af dit website nu. Overvej at begrænse adgangen til WordPress-backend’en til kendte IP-adresser, og hold øje med pluginets officielle side for opdateringer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Database for Contact Form 7, WPforms, Elementor forms plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the view_page function in all versions up to, and including, 1.5.1. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). Successful exploitation requires an administrator to view or edit the poisoned form entry, at which point PHP’s bracket parser reshapes the attacker-crafted JSON key to bypass the stored-path isset check and trigger deletion of the traversal-specified file.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
