Vulnérabilité du plug-in WordPress (CVE-2020-35489); le patch est maintenant disponible au téléchargement
L’analyste d’Astra Security, Jinson Varghese Behanan, a découvert une vulnérabilité dans le populaire plug-in Contact Form 7, permettant aux attaquants de contourner les protections de désinfection des noms de fichiers des plug-ins lors du téléchargement de fichiers.
Les attaquants téléchargent un fichier spécialement conçu avec du code arbitraire sur le serveur vulnérable, puis exécutent ce fichier en tant que script pour y exécuter du code.
L’analyste de sécurité a découvert la vulnérabilité de téléchargement de fichiers sans restriction (CVE-2020-35489) lors de la réalisation d’un audit de sécurité pour un client.
Le problème était dans le fichier «includes / formatting.php» dans le code du plug-in Contact Form 7. Dans les versions vulnérables, le plug-in ne supprime pas les caractères spéciaux du nom de fichier téléchargé, y compris le caractère de contrôle et les séparateurs.
Les attaquants téléchargent un nom de fichier contenant des doubles extensions, séparés par un caractère non imprimable ou spécial, par exemple un fichier appelé «abc.pjp .jpg». Le caractère (\ t) est le séparateur dans cet exemple. Il apparaît sous la forme (* .jpg) dans l’interface côté client du plug-in.
Lorsque ce fichier est téléchargé sur le serveur, le formulaire de contact 7 analysera le nom de fichier jusqu’à la première extension, mais rejettera la seconde en raison du séparateur. Ainsi, le nom de fichier deviendrait “abc.php” auquel les attaquants accèdent par exécution de code arbitraire sur le serveur.
Cette semaine, Contact Form 7 a révélé cette vulnérabilité dans le plug-in WordPress et a publié un correctif. Le patch est disponible dans la version 5.3.2 qui peut être téléchargée depuis WordPress.
Behanan a déclaré: “Vu la criticité de la vulnérabilité et le nombre de sites Web WordPress utilisant ce plugin populaire, nous avons rapidement signalé la vulnérabilité. Le développeur a été encore plus rapide en publiant un correctif. Félicitations à l’équipe Contact Form 7 pour avoir montré l’exemple”.
Les utilisateurs qui utilisent ce plug-in sont vivement invités à installer la dernière version du plug-in Contact Form 7.