WordPress插件漏洞（CVE-2020-35489）;该补丁现已可供下载

Astra Security分析师Jinson Varghese Behanan发现了流行的Contact Form 7插件中的漏洞，攻击者可以在上传文件时绕过插件文件名清理保护。

攻击者在易受攻击的服务器上上传包含任意代码的精心制作的文件，然后将该文件作为脚本运行以在其中运行代码。

安全分析师在为客户端执行安全审核期间发现了不受限制的文件上传漏洞（CVE-2020-35489）。

问题出在Contact Form 7插件代码中的“ includes / formatting.php”文件中。在易受攻击的版本中，该插件不会从上传的文件名中删除特殊字符，包括控制字符和分隔符。

 攻击者上传的文件名包含双扩展名，并用不可打印或特殊字符分隔，例如名为“ abc.pjp .jpg”的文件。在此示例中，（\ t）字符是分隔符。它在插件的客户端界面中显示为（* .jpg）。

当此文件上传到服务器时，Contact Form 7将解析文件名直到第一个扩展名，但由于分隔符而将第二个扩展名丢弃。因此，文件名将变成“ abc.php”，攻击者可以通过任意代码执行访问服务器。

本周，联系表7在WordPress插件中披露了此漏洞并发布了补丁。该修补程序的版本为5.3.2，可以从WordPress下载。

Behanan说：“看到此漏洞的严重性以及使用此流行插件的WordPress网站数量，我们迅速报告了该漏洞。开发人员甚至更迅速地发布了此修复程序。对于联系表7团队以身作则，表示赞赏”。

强烈建议使用此插件的用户安装最新版本的Contact Form 7插件。