Krytyczna podatność w bardzo popularnym pluginie WordPressa (Contact Form 7). 5+ milionów instalacji i możliwość dostania się na serwer.

O temacie informuje Bleeping Computer:

In the vulnerable versions, the plugin does not remove special characters from the uploaded filename, including the control character and separators. This could potentially allow an attacker to upload a filename containing double-extensions, separated by a non-printable or special character, such as a file called „abc.php    .jpg.” 

Z opisu wynika, że atakujący mógłby wysłać na serwer plik z podwójnym rozszerzeniem (pierwsze zawiera na końcu np. tabulator) – sam plugin z kolei stworzy z takiego pliku „zwykły” abc.php. Atakujący ma zatem możliwość umieszczenia na serwerze pliku php z dowolnym, ustalonym przez siebie kodem (zazwyczaj kończy się to możliwością interaktywnego dostępu na serwer).

Przy czym nie jest jasne, czy aby być podatnym trzeba posiadać formularz kontaktu umożliwiający upload plików (wydaje się, że tak), czy może wystarczy sama obecność podatnego pluginu w instalacji WordPress.

Sami developerzy rozwiązania piszą w ten sposób:

Contact Form 7 5.3.2 has been released. This is an urgent security and maintenance release. We strongly encourage you to update to it immediately.

An unrestricted file upload vulnerability has been found in Contact Form 7 5.3.1 and older versions. Utilizing this vulnerability, a form submitter can bypass Contact Form 7’s filename sanitization, and upload a file which can be executed as a script file on the host server. 

W każdym razie warto zaktualizować się ASAP do wersji 5.3.2

–ms