Критическая ошибка в функции загрузки файлов в плагине Contact Form 7 позволяет любому посетителю загрузить на ваш сайт файлы, и таким образом получить над сайтом полный контроль.
Патч для популярного плагина WordPress под названием Contact Form 7 вышел вчера 17.12.2020р. Он исправляет критическую ошибку, описанную выше. Патч поставляется в виде обновления до версии плагина 5.3.2.
Данный плагин установлен на 5 миллионах сайтов, большинство из которых ( 70 процентов) работают на версии 5.3.1.
Эта проблема является критической уязвимостью ( CVE-2020-35489 ).
Разработчик плагина (Takayuki Miyoshi) быстро исправил уязвимость, осознавая ее критическую природу. Уязвимость позволяет несанкционированному пользователю обойти любые ограничения по типу файла, который можно прикрепить к форме, то есть можно загрузить вредоносный файл на сайт, работающий с версией плагина 5.3.1 или более старой.
Далее, хакер может предпринять ряд действий, например, сломать сайт или перенаправить ваших посетителей на сторонний сайт.
В дополнение к захвату самого сайта, злоумышленник может также получить доступ к управлению всем сервером, на котором размещен ваш сайт, если нет контейнеризации, которая используется для разделения сайтов разных клиентов на сервере. Наши услуги хостинга для WordPress изолируют всех клиентов друг от друга, поэтому серверы защищены, как и клиенты защищены от других клиентов.