Vulnerabilidad del complemento de WordPress (CVE-2020-35489); el parche ya está disponible para descargar
El analista de seguridad de Astra, Jinson Varghese Behanan, descubrió una vulnerabilidad en el popular complemento Contact Form 7, lo que permite a los atacantes eludir las protecciones de desinfección de nombres de archivos de los complementos al cargar archivos.
Los atacantes cargan un archivo elaborado con código arbitrario en el servidor vulnerable y luego ejecutan este archivo como un script para ejecutar código dentro.
El analista de seguridad encontró la vulnerabilidad de carga de archivos sin restricciones (CVE-2020-35489) mientras realizaban una auditoría de seguridad para un cliente.
El problema estaba en el archivo “includes / formatting.php” dentro del código del complemento Contact Form 7. En las versiones vulnerables, el complemento no elimina los caracteres especiales del nombre de archivo cargado, incluidos el carácter de control y los separadores.
Los atacantes cargan un nombre de archivo que contiene extensiones dobles, separadas por un carácter especial o no imprimible, por ejemplo, un archivo llamado “abc.pjp .jpg”. El carácter (\ t) es el separador en este ejemplo. Aparece como (* .jpg) en la interfaz del lado del cliente del complemento.
Cuando este archivo se carga en el servidor, Contact Form 7 analizará el nombre del archivo hasta la primera extensión, pero descartará la segunda debido al separador. Por lo tanto, el nombre del archivo se convertiría en “abc.php” al que los atacantes acceden mediante la ejecución de código arbitrario al servidor.
Esta semana, Contact Form 7 reveló esta vulnerabilidad en el complemento de WordPress y emitió un parche. El parche está disponible en la versión 5.3.2 que se puede descargar desde WordPress.
Behanan dijo: “Al ver la importancia de la vulnerabilidad y la cantidad de sitios web de WordPress que utilizan este popular complemento, informamos rápidamente de la vulnerabilidad. El desarrollador fue aún más rápido en la publicación de una solución. Felicitaciones al equipo de Contact Form 7 por liderar con el ejemplo”.
Se recomienda encarecidamente a los usuarios que utilicen este complemento que instalen la última versión del complemento Contact Form 7.