Vulnerabilidade do plug-in WordPress (CVE-2020-35489); o patch já está disponível para download
O analista da Astra Security, Jinson Varghese Behanan, descobriu uma vulnerabilidade no popular plug-in Contact Form 7, permitindo que os invasores contornem as proteções de sanitização de nome de arquivo dos plug-ins ao enviar arquivos.
Os invasores carregam um arquivo criado com código arbitrário no servidor vulnerável e, em seguida, executam esse arquivo como um script para executar o código nele.
O analista de segurança encontrou a vulnerabilidade de upload irrestrito de arquivo (CVE-2020-35489) durante uma auditoria de segurança para um cliente.
O problema estava no arquivo “includes / formatting.php” no código do plug-in Contact Form 7. Nas versões vulneráveis, o plug-in não remove caracteres especiais do nome do arquivo carregado, incluindo o caractere de controle e separadores.
Os invasores carregam um nome de arquivo contendo extensões duplas, separadas por um caractere especial ou não imprimível, por exemplo, um arquivo chamado “abc.pjp .jpg”. (\ t) caractere é o separador neste exemplo. Ele aparece como (* .jpg) na interface do lado do cliente do plug-in.
Quando este arquivo é carregado para o servidor, o Formulário de Contato 7 analisará o nome do arquivo até a primeira extensão, mas descartará a segunda devido ao separador. Assim, o nome do arquivo se tornaria “abc.php”, que os invasores acessam por meio da execução arbitrária de códigos no servidor.
Esta semana, o Contact Form 7 divulgou essa vulnerabilidade no plug-in do WordPress e lançou um patch. O patch está disponível na versão 5.3.2 que pode ser baixada do WordPress.
Behanan disse: “Vendo a importância da vulnerabilidade e o número de sites WordPress usando este plugin popular, relatamos rapidamente a vulnerabilidade. O desenvolvedor foi ainda mais rápido ao emitir uma correção. Parabéns à equipe do Contact Form 7 por liderar pelo exemplo”.
Os usuários que estão usando este plug-in são altamente aconselhados a instalar a versão mais recente do plug-in Contact Form 7.