O Contact Form 7 corrigiu uma vulnerabilidade crítica de upload de arquivo na versão 5.3.2, lançada hoje pelo autor do plugin Takayuki Miyoshi. O plugin está instalado em mais de cinco milhões de sites WordPress.
“Uma vulnerabilidade de upload irrestrito de arquivo foi encontrada no Contact Form 7 5.3.1 e versões anteriores”, disse Miyoshi. “Utilizando esta vulnerabilidade, um remetente de formulário pode ignorar a limpeza de nome de arquivo do Contact Form 7 e fazer upload de um arquivo que pode ser executado como um arquivo de script no servidor host.”
A vulnerabilidade foi descoberta por Jinson Varghese Behanan da Astra Security em 16 de dezembro de 2020, e Miyoshi lançou uma correção menos de 24 horas depois. Behanan destacou algumas maneiras pelas quais essa vulnerabilidade pode ser explorada:
- Possível fazer upload de um shell da web e injetar scripts maliciosos
- Aquisição completa do site e do servidor se não houver conteinerização entre sites no mesmo servidor
- Desfigurando o site
A Astra Security planeja publicar mais detalhes sobre a vulnerabilidade em duas semanas após a base de usuários do plugin ter tido mais tempo para atualizar para a versão corrigida.
A versão 5.3.2 remove controle, separador e outros tipos de caracteres especiais do nome do arquivo para corrigir a vulnerabilidade de upload irrestrito de arquivo. No momento da publicação, mais de um milhão de atualizações do Contact Form 7 foram baixadas hoje. Aproximadamente 20% da base de usuários do plugin está protegida contra a vulnerabilidade. Agora que foi corrigido e publicado, os usuários do Formulário de Contato 7 que não atualizarem correrão mais risco de ter a vulnerabilidade explorada.
