Vulnerabilità del plug-in di WordPress (CVE-2020-35489); la patch è ora disponibile per il download
L’analista di Astra Security, Jinson Varghese Behanan, ha scoperto una vulnerabilità nel popolare plug-in Contact Form 7, che consente agli aggressori di aggirare le protezioni di sanificazione dei nomi dei plug-in durante il caricamento dei file.
Gli aggressori caricano un file predisposto con codice arbitrario sul server vulnerabile e quindi eseguono questo file come script per eseguire il codice all’interno.
L’analista della sicurezza ha rilevato la vulnerabilità di caricamento di file illimitato (CVE-2020-35489) durante il controllo della sicurezza per un client.
Il problema era nel file “includes / formatting.php” all’interno del codice del plug-in Contact Form 7. Nelle versioni vulnerabili, il plug-in non rimuove i caratteri speciali dal nome del file caricato, inclusi il carattere di controllo e i separatori.
Gli aggressori caricano un nome file contenente doppie estensioni, separate da un carattere non stampabile o speciale, ad esempio un file chiamato “abc.pjp .jpg”. Il carattere (\ t) è il separatore in questo esempio. Appare come (* .jpg) nell’interfaccia lato client del plug-in.
Quando questo file viene caricato sul server, il Modulo di contatto 7 analizzerà il nome del file fino alla prima estensione ma scarterà la seconda a causa del separatore. Pertanto, il nome del file diventerebbe “abc.php” a cui gli aggressori accedono al server tramite l’esecuzione di codice arbitrario.
Questa settimana, Contact Form 7 ha rivelato questa vulnerabilità nel plug-in di WordPress e ha rilasciato una patch. La patch è disponibile nella versione 5.3.2 che può essere scaricata da WordPress.
Behanan ha dichiarato: “Vedendo la criticità della vulnerabilità e il numero di siti Web WordPress che utilizzano questo popolare plug-in, abbiamo rapidamente segnalato la vulnerabilità. Lo sviluppatore è stato ancora più veloce nel fornire una correzione. Complimenti al team di Contact Form 7 per aver dato il buon esempio”.
Si consiglia vivamente agli utenti che utilizzano questo plug-in di installare l’ultima versione del plug-in Contact Form 7.
