Критична помилка у функції завантаження файлів в плагіні Contact Form 7 дозволяє будь-якому відвідувачу завантажити на ваш сайт будь-які файли, і таким чином отримати над сайтом повний контроль.

Патч для популярного плагіна WordPress під назвою Contact Form 7 вийшов вчора 17.12.2020р. Він виправляє критичну помилку, описану вище. Патч випущено у вигляді оновленої версії плагін 5.3.2.

Даний плагін встановлено на 5 мільйонах сайтів, більшість з яких ( 70 відсотків ) працюють з версією 5.3.1.

Дана проблема є критичною вразливістю ( CVE-2020-35489 ).

Виправлення

Розробник плагіна ( Takayuki Miyoshi ) швидко виправив вразливість, усвідомлюючи її критичну природу. Вразливість дозволяє неавторизованому користувачеві обійти будь-які обмеження щодо типу файлу, який можна прикріпити до форми, тобто можна завантажити зловмисний файл на сайт, що працює з версією плагіна 5.3.1 або старішою.

Далі, хакер може вчинити низку дій, наприклад, зіпсувати веб-сайт або перенаправити ваших відвідувачів на сторонній веб-сайт.

На додаток до захоплення самого сайту, зловмисник може також отримати доступ до керування усім сервером, що розміщує сайт, якщо немає контейнеризації, яка використовується для відокремлення веб-сайтів різних клієнтів на сервері. Наші послуги хостингу для WordPress ізолюють усіх клієнтів один від одного, тож сервери захищені, як і клієнти захищені від інших клієнтів.