Plugin-ul Contact Form 7, are peste 5 milioane de instalări active, ceea ce face ca această actualizare urgentă să fie o necesitate pentru proprietarii de site-uri WordPress.

În această săptămână a fost descoperită o vulnerabilitate (CVE în așteptare), a plugin-ului Contact Form 7. Aceasta, permite unui atacator să ocolească protecțiile de restricționare a numelui unui fișier ce urmează să fie încărcat prin intermediul formularului de contact.

Astfel, un atacator, folosindu-se de acest plugin, poate încărca un fișier creat cu cod arbitrar pe serverul vulnerabil. Apoi, prin exploatarea acestei vulnerabilități severe, fișierul poate fi executat ca un script pentru a rula codul.

“A fost lansat Contact Form 7 v5.3.2. Aceasta este o versiune urgentă de securitate și mentenanță. Vă încurajăm insistent să actualizați imediat”, se arată într-un comunicat al dezvoltatorului.

Jinson Varghese Behanan, analist de securitate a informațiilor la Astra Security, cel care a descoperit și raportat această problemă, a declarat:

“Vulnerabilitatea a fost găsită în timp ce făceam un audit de securitate pentru un client. Văzând criticitatea vulnerabilității și numărul de site-uri web WordPress care folosesc acest plugin, am raportat rapid vulnerabilitatea. Dezvoltatorul a fost și mai rapid în emiterea unui patch”

Conform BleepingComputer, problema apare în fișierul include/formatting.php care face parte din codul plugin-ului Contact Form 7.

În versiunile vulnerabile, plugin-ul nu elimină caracterele speciale din numele fișierului încărcat, inclusiv caracterul de control și separatoarele.

Acest lucru ar putea permite unui atacator să încarce un nume de fișier care conține extensii duble, separate printr-un caracter care nu se tipărește sau special, cum ar fi un fișier numit „abc.php .jpg”. În acest exemplu, separatorul dintre cele două extensii este un caracter tab (\ t).

Pentru interfața din partea clientului a Contact Form 7, acesta poate părea a fi un fișier imagine (* .jpg).

Cu toate acestea, atunci când este încărcat pe server, Contact Form 7 va analiza probabil numele fișierului până la prima extensie și o va omite pe a doua datorită unui separator.

Prin urmare, noul nume de fișier va deveni „abc.php”, un script PHP, la care atacatorul are acces și poate executa cod arbitrar pe server.

Acesta nu este primul caz a unei vulnerabilități critice cu extensie dublă care se ascunde în platformele de blog și CMS. Luna trecută, s-a constatat că site-urile Drupal (open source CMS) prezentau o vulnerabilitate similară la încărcarea fișierelor.

Patch-ul v5.3.2 a plugin-ului poate fi descărcat de aici. Utilizatorii Contact Form 7 sunt sfătuiți să aplice imediat această actualizare urgentă.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.