INTRODUCCIÓ
El dia 21 de desembre de 2020, es va publicar una vulnerabilitat per al plugin de WordPress, Contact Form 7, que permetria a un atacant pujar fitxers no autoritzats i execució de codi remot.
ANÀLISI
La vulnerabilitat, que ha sigut catalogada com CVE-2020-35489 [1] i compta amb una puntuació CVSS de 10.0. A través d’aquesta vulnerabilitat un atacant podria executar codi en el servidor per mitjà de la pujada d’un fitxer el nom del qual tinguera caràcters especials. Les conseqüències de l’explotació de la vulnerabilitat podrien derivar en [2]:
- Prendre el control del servidor.
- Injecció de programari maliciós en el lloc web: robatori de mètodes de pagament, redireccions malicioses…
- Website Defacement via phishing.
- Sobrecàrrega del sistema de fitxers o la base de dades.
- Inserció de backdoors.
Aquesta vulnerabilitat afecta els llocs amb WordPress i la versió del plugin Contact Form 7 anterior al 5.3.2, el qual s’estima present en més de 5 milions de llocs web.
Existeix publicada almenys una prova de concepte [3], però el desenvolupador ja ha publicat el pegat que soluciona aquesta vulnerabilitat.
RECOMANACIONS
Actualitzar el connector “Contact Form 7” a la seua última versió 5.3.2 [3]
REFERÈNCIES
[1] https://nvd.nist.gov/vuln/detail/CVE-2020-35489[2] https://blog.wpsec.com/contact-form-7-vulnerability/
[3] https://wordpress.org/plugins/contact-form-7/