В Contact Form 7 была исправлена критическая уязвимость загрузки файлов в версии 5.3.2, выпущенной сегодня автором плагина Такаюки Миёси. Плагин установлен более чем на пяти миллионах сайтов WordPress.
«Уязвимость неограниченной загрузки файлов была обнаружена в Contact Form 7 5.3.1 и более ранних версиях», – сказал Миёси. «Используя эту уязвимость, отправитель формы может обойти санацию имени файла Contact Form 7 и загрузить файл, который может быть выполнен как файл сценария на хост-сервере».
Уязвимость была обнаружена Джинсоном Варгезом Бехананом из Astra Security 16 декабря 2020 года, и Миёши выпустил исправление менее чем через 24 часа. Беханан выделил несколько способов использования этой уязвимости:
- Возможность загрузки веб-оболочки и внедрения вредоносных скриптов
- Полный захват веб-сайта и сервера при отсутствии контейнеризации между веб-сайтами на одном сервере
- Удаление веб-сайта
Astra Security планирует опубликовать более подробную информацию об уязвимости через две недели после того, как у пользовательской базы плагина будет больше времени для обновления до исправленной версии.
Версия 5.3.2 удаляет элементы управления, разделители и другие типы специальных символов из имени файла, чтобы исправить уязвимость неограниченной загрузки файлов. На момент публикации сегодня было загружено более миллиона обновлений Контактной формы 7. Примерно 20% пользовательской базы плагина защищено от уязвимости. Теперь, когда она исправлена и опубликована, пользователи Contact Form 7, которые не обновят ее, будут больше подвержены риску эксплуатации уязвимости.
