Informujemy, że we wtyczce Contact Form 7, zainstalowanej na Twojej stronie, wykryto krytyczną podatność, która może narazić witrynę na niebezpieczeństwo.

WordPress-contact-form-plugins

Informujemy, że we wtyczce Contact Form 7, zainstalowanej na Twojej stronie, wykryto krytyczną podatność, która może narazić witrynę na niebezpieczeństwo.

Drogi Kliencie,
Informujemy, że we wtyczce Contact Form 7, zainstalowanej na Twojej stronie, wykryto krytyczną podatność, która może narazić witrynę na niebezpieczeństwo.
Wykryta podatność umożliwia osobie atakującej umieszczenie dowolnego pliku na serwerze, a w konsekwencji czego – dostęp do Twojego serwera.

W dniu 2020-12-17 pojawiła się informacja o podatności w wyjątkowo popularnej wtyczce Contact Form 7 dla WordPress. Sytuacja dotyczy ponad 5 milionów stron na całym świecie.

 

Wysyłamy ją do wszystkich użytkowników usług oraz osób osób zapisanych na newslettery. To poważne i masowe zagrożenie, a znaczna część z Was posiada strony na WordPress z tą wtyczką.

 

Contact Form 7 pozwala na łatwe osadzenie funkcjonalnego formularza na Twojej stronie, opartej o WordPress i jest często wybierana przez osoby tworzące strony w oparciu o ten CMS. Ujawniono w niej lukę umożliwiającą wykonanie złośliwego kodu na Twoim serwerze.

 

Zalecamy pilną aktualizację do wersji 5.3.2. – Kroki, które należy podjąć (instrukcję), oraz samo zagrożenia przedstawiamy szerzej na blogu – link poniżej.

Aby temu zapobiec, konieczna jest aktualizacja wtyczki Contact Form 7 do wersji 5.3.2 – zachęcamy, by wykonać tę operację jak najszybciej.

O temacie informuje Bleeping Computer:

In the vulnerable versions, the plugin does not remove special characters from the uploaded filename, including the control character and separators. This could potentially allow an attacker to upload a filename containing double-extensions, separated by a non-printable or special character, such as a file called „abc.php .jpg.”

Z opisu wynika, że atakujący mógłby wysłać na serwer plik z podwójnym rozszerzeniem (pierwsze zawiera na końcu np. tabulator) – sam plugin z kolei stworzy z takiego pliku „zwykły” abc.php. Atakujący ma zatem możliwość umieszczenia na serwerze pliku php z dowolnym, ustalonym przez siebie kodem (zazwyczaj kończy się to możliwością interaktywnego dostępu na serwer).

Przy czym nie jest jasne, czy aby być podatnym trzeba posiadać formularz kontaktu umożliwiający upload plików (wydaje się, że tak), czy może wystarczy sama obecność podatnego pluginu w instalacji WordPress.

Sami developerzy rozwiązania piszą w ten sposób:

Contact Form 7 5.3.2 has been released. This is an urgent security and maintenance release. We strongly encourage you to update to it immediately.

An unrestricted file upload vulnerability has been found in Contact Form 7 5.3.1 and older versions. Utilizing this vulnerability, a form submitter can bypass Contact Form 7’s filename sanitization, and upload a file which can be executed as a script file on the host server.

W każdym razie warto zaktualizować się ASAP do wersji 5.3.2

 

 

Pozdrawiamy,
Zespół PrestaGuru.pl
guru@prestaguru.pl, +48 606 206 106

PrestaGuru.pl – Gotowy sklep Internetowy Prestashop od 999 PLN