Критична помилка у функції завантаження файлів в плагіні Contact Form 7 дозволяє будь-якому відвідувачу завантажити на ваш сайт будь-які файли, і таким чином отримати над сайтом повний контроль.
Патч для популярного плагіна WordPress під назвою Contact Form 7 вийшов вчора 17.12.2020р. Він виправляє критичну помилку, описану вище. Патч випущено у вигляді оновленої версії плагін 5.3.2.
Даний плагін встановлено на 5 мільйонах сайтів, більшість з яких ( 70 відсотків ) працюють з версією 5.3.1.
Дана проблема є критичною вразливістю ( CVE-2020-35489 ).
Виправлення
Розробник плагіна ( Takayuki Miyoshi ) швидко виправив вразливість, усвідомлюючи її критичну природу. Вразливість дозволяє неавторизованому користувачеві обійти будь-які обмеження щодо типу файлу, який можна прикріпити до форми, тобто можна завантажити зловмисний файл на сайт, що працює з версією плагіна 5.3.1 або старішою.
Далі, хакер може вчинити низку дій, наприклад, зіпсувати веб-сайт або перенаправити ваших відвідувачів на сторонній веб-сайт.
На додаток до захоплення самого сайту, зловмисник може також отримати доступ до керування усім сервером, що розміщує сайт, якщо немає контейнеризації, яка використовується для відокремлення веб-сайтів різних клієнтів на сервері. Наші послуги хостингу для WordPress ізолюють усіх клієнтів один від одного, тож сервери захищені, як і клієнти захищені від інших клієнтів.