CVE-2026-9843
Alvorlig

CVE-2026-9843: Kritisk WordPress-plugin sårbarhed

WordPress-plugin til kontaktformularer lader hackere slette kritiske filer og overtage dit website uden login.

CVSS Score
8.1
Offentliggjort
20/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Sårbarheden findes i WordPress-pluginet Database for Contact Form 7, WPforms, Elementor forms op til og med version 1.5.1. Den skyldes en fejl i, hvordan pluginet håndterer filstier (den vej computeren bruger til at finde en fil). En angriber kan snyde pluginet til at slette filer, det slet ikke burde røre ved — herunder kritiske systemfiler som wp-config.php, der indeholder adgangskoder til din database. Fejlen kaldes teknisk en path traversal (stinavnsmanipulation), og den er klassificeret som CWE-22.

Hvem rammer det?

Alle WordPress-websites der kører pluginet Database for Contact Form 7, WPforms, Elementor forms i version 1.5.1 eller ældre. Du er i risikogruppen, hvis du bruger dette plugin til at gemme indsendte kontaktformulardata i din WordPress-database. Angriberen behøver ikke at have et login på dit website for at forberede angrebet — men en administrator skal efterfølgende se eller redigere den manipulerede formularindgang for at udløse det.

Hvad kan ske?

Hvis angrebet lykkes, kan hackeren slette vilkårlige filer på din webserver. Det kan føre til:

  • Fuldstændig overtagelse af dit website — ved at slette wp-config.php tvinges WordPress ind i en genopsætningsproces, som angriberen kan udnytte til at koble sin egen database til dit site.
  • Datatab — vigtige filer, indstillinger og indhold kan blive permanent slettet.
  • Malware-injektion — når angriberen har kontrol, kan der installeres bagdøre eller ondsindede scripts.
  • Nedetid og omdømmeskade — dit website kan gå ned eller begynde at vise uønsket indhold over for dine besøgende og kunder.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.1 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Angrebet kan udføres over internettet uden forudgående login, og kompleksiteten er lav — det kræver ikke specialudstyr eller avancerede tekniske færdigheder. Den eneste begrænsning er, at en administrator skal klikke på den manipulerede formularindgang for at udløse selve filsletningen. Det gør angrebet lidt sværere, men på ingen måde urealistisk, da mange administratorer løbende gennemgår indsendte formulardata. Fortrolighed (adgang til data) er ikke direkte truet, men integritet og tilgængelighed af dit website er i høj risiko.

Hvad gør jeg nu?

Opdater pluginet hurtigst muligt. Følg disse trin:

  1. Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins.
  2. Find pluginet “Database for Contact Form 7, WPforms, Elementor forms” og kontrollér versionsnummeret.
  3. Opdater til den nyeste version (over 1.5.1), hvis en opdatering er tilgængelig. Klik på “Opdater nu”.
  4. Hvis ingen opdatering er tilgængelig: Deaktivér og afinstallér pluginet midlertidigt, indtil en patch udgives.
  5. Gennemgå nylige formularindgange med forsigtighed og undgå at åbne mistænkelige indgange, før pluginet er opdateret.
  6. Tag en sikkerhedskopi af dit website og din database nu, så du kan gendanne den, hvis noget går galt.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Opdatér pluginet til en version over 1.5.1 med det samme — dette er den vigtigste enkelthandling du kan foretage. Sørg desuden for at have en nylig sikkerhedskopi af dit website liggende, så du kan komme hurtigt tilbage online, hvis noget skulle ske. Overvej at installere en WordPress-sikkerhedsscanner (f.eks. Wordfence eller Sucuri), der automatisk advarer dig ved fremtidige sårbarheder. Har du brug for hjælp til at vurdere din eksponering, er du altid velkommen til at kontakte os hos Auroa.

Tidslinje

20/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-9843 blev officielt registreret i NVD-databasen og gjort offentlig tilgængelig med fuld teknisk beskrivelse.
20/06/2026
Sårbarhed afsløret for plugin-udviklere
Pluginets udviklere blev orienteret om path traversal-fejlen i view_page-funktionen, der giver mulighed for vilkårlig filsletning.
21/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer om, hvordan PHP's bracket parser misbruges til at omgå sikkerhedstjekket, er tilgængelige offentligt, hvilket øger risikoen for udnyttelse markant.
22/06/2026
Patch forventet / under udvikling
Brugere opfordres til at opdatere til en version over 1.5.1 så snart den er tilgængelig, eller deaktivere pluginet i mellemtiden.

Konkrete eksempler

Angriber sletter wp-config.php og overtager websitet

En angriber udfylder din kontaktformular med en særligt konstrueret JSON-nøgle i et af felterne. Nøglen er udformet, så PHP’s bracket-parser omdanner den til en filsti, der peger på wp-config.php. Når du som administrator efterfølgende åbner formularindgangen i WordPress-backend’en for at læse henvendelsen, udløses sletningen automatisk. Dit website går ned, og angriberen kan nu køre WordPress-installationsguiden og koble sin egen database til dit domæne.

Sletning af temafilter skaber kaos og åbner for malware

I stedet for at slette konfigurationsfilen vælger angriberen at slette centrale temafiler eller WordPress-kernefiler. Det får dit website til at crashe med fejlbeskeder, der afslører serversti-information. Angriberen kan bruge denne information til at planlægge et mere målrettet angreb, og i kaosset kan der uploades erstatningsfiler med skjult malware-kode.

Automatiseret massescanning mod alle sårbare WordPress-sites

Hackere bruger automatiserede bots til at scanne internettet for WordPress-sites, der kører den sårbare version af pluginet. Disse bots indsender automatisk manipulerede formularindgange til tusindvis af websites på én gang. Websites hvis administratorer åbner indgangene — noget mange gør dagligt — bliver kompromitteret uden at der er nogen synlig advarsel på forhånd.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

The Database for Contact Form 7, WPforms, Elementor forms plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the view_page function in all versions up to, and including, 1.5.1. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). Successful exploitation requires an administrator to view or edit the poisoned form entry, at which point PHP’s bracket parser reshapes the attacker-crafted JSON key to bypass the stored-path isset check and trigger deletion of the traversal-specified file.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-9843
Offentliggjort
20/06/2026
Sidst opdateret
20/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.