INTRODUCCIÓN
A día 21 de diciembre de 2020, se publicó una vulnerabilidad para el plugin de WordPress, Contact Form 7, que permitiría a un atacante subir ficheros no autorizados y ejecución de código remoto.
ANÁLISIS
La vulnerabilidad, que ha sido catalogada como CVE-2020-35489 [1] y cuenta con una puntuación CVSS de 10.0. A través de esta vulnerabilidad un atacante podría ejecutar código en el servidor por medio de la subida de un fichero cuyo nombre tuviera caracteres especiales. Las consecuencias de la explotación de la vulnerabilidad podrían derivar en [2]:
- Tomar el contro del servidor.
- Inyección de malware en el sitio web: robo de métodos de pago, redirecciones maliciosas…
- Website Defacement via phishing.
- Sobrecarga del sistema de ficheros o la base de datos.
- Inserción de backdoors.
Esta vulnerabilidad afecta a los sitios con WordPress y la versión del plugin Contact Form 7 plugin anterior a la 5.3.2, la cual se estima presente en más de 5 millones de sitios web.
Existe publicada al menos una prueba de concepto [3], pero el desarrollador ya ha publicado el parche que soluciona esta vulnerabilidad.
RECOMENDACIONES
Actualizar el plugin «Contact Form 7» a su ultima versión 5.3.2 [3]
REFERENCIAS
[1] https://nvd.nist.gov/vuln/detail/CVE-2020-35489[2] https://blog.wpsec.com/contact-form-7-vulnerability/
[3] https://wordpress.org/plugins/contact-form-7/