Sicherheitsanfälligkeit in WordPress-Plug-Ins (CVE-2020-35489); Der Patch steht jetzt zum Download zur Verfügung

Der Analyst von Astra Security, Jinson Varghese Behanan, entdeckte eine Sicherheitslücke im beliebten Plug-In „Contact Form 7“, mit der Angreifer beim Hochladen von Dateien den Schutz vor der Bereinigung von Dateinamen durch Plug-Ins umgehen können.

Die Angreifer laden eine gestaltete Datei mit beliebigem Code auf den anfälligen Server hoch und führen diese Datei dann als Skript aus, um Code darin auszuführen.

Der Sicherheitsanalytiker hat die uneingeschränkte Sicherheitsanfälligkeit beim Hochladen von Dateien (CVE-2020-35489) festgestellt, als er eine Sicherheitsüberprüfung für einen Client durchführte.

Das Problem befand sich in der Datei „includes / formatting.php“ im Plug-In-Code von Contact Form 7. In den anfälligen Versionen entfernt das Plug-In keine Sonderzeichen aus dem hochgeladenen Dateinamen, einschließlich des Steuerzeichens und der Trennzeichen.

 Die Angreifer laden einen Dateinamen hoch, der doppelte Erweiterungen enthält, die durch ein nicht druckbares oder spezielles Zeichen getrennt sind, z. B. eine Datei mit dem Namen „abc.pjp .jpg“. Das Zeichen (\ t) ist in diesem Beispiel das Trennzeichen. Es wird als (* .jpg) in der clientseitigen Oberfläche des Plug-Ins angezeigt.

Wenn diese Datei auf den Server hochgeladen wird, analysiert das Kontaktformular 7 den Dateinamen bis zur ersten Erweiterung, verwirft jedoch den zweiten aufgrund des Trennzeichens. Somit würde der Dateiname „abc.php“ werden, auf den die Angreifer durch willkürliche Codeausführung auf den Server zugreifen.

Diese Woche hat Contact Form 7 diese Sicherheitsanfälligkeit im WordPress-Plug-In offengelegt und einen Patch veröffentlicht. Der Patch ist in der Version 5.3.2 verfügbar, die von WordPress heruntergeladen werden kann.

Behanan sagte: „Angesichts der Kritikalität der Sicherheitsanfälligkeit und der Anzahl der WordPress-Websites, die dieses beliebte Plugin verwenden, haben wir die Sicherheitsanfälligkeit schnell gemeldet. Der Entwickler hat noch schneller einen Fix herausgegeben. Ein großes Lob an das Contact Form 7-Team für die Vorbildfunktion.“

Benutzern, die dieses Plug-In verwenden, wird dringend empfohlen, die neueste Version des Contact Form 7-Plug-Ins zu installieren.