Contact Form 7, версия 5.3.2, исправляет критическую уязвимость, рекомендуется немедленное обновление

В Contact Form 7 была исправлена критическая уязвимость загрузки файлов в версии 5.3.2, выпущенной сегодня автором плагина Такаюки Миёси. Плагин установлен более чем на пяти миллионах сайтов WordPress.

«Уязвимость неограниченной загрузки файлов была обнаружена в Contact Form 7 5.3.1 и более ранних версиях», – сказал Миёси. «Используя эту уязвимость, отправитель формы может обойти санацию имени файла Contact Form 7 и загрузить файл, который может быть выполнен как файл сценария на хост-сервере».

Уязвимость была обнаружена Джинсоном Варгезом Бехананом из Astra Security 16 декабря 2020 года, и Миёши выпустил исправление менее чем через 24 часа. Беханан выделил несколько способов использования этой уязвимости:

1. Возможность загрузки веб-оболочки и внедрения вредоносных скриптов
2. Полный захват веб-сайта и сервера при отсутствии контейнеризации между веб-сайтами на одном сервере
3. Удаление веб-сайта

Astra Security планирует опубликовать более подробную информацию об уязвимости через две недели после того, как у пользовательской базы плагина будет больше времени для обновления до исправленной версии.

Версия 5.3.2 удаляет элементы управления, разделители и другие типы специальных символов из имени файла, чтобы исправить уязвимость неограниченной загрузки файлов. На момент публикации сегодня было загружено более миллиона обновлений Контактной формы 7. Примерно 20% пользовательской базы плагина защищено от уязвимости. Теперь, когда она исправлена ​​и опубликована, пользователи Contact Form 7, которые не обновят ее, будут больше подвержены риску эксплуатации уязвимости.