Formulário de contato 7, provavelmente o plug-in WordPress mais usado, lançou um patch de segurança para uma vulnerabilidade de upload irrestrito de arquivo em todas as versões 5.3.1 e inferiores. O diretório do plug-in do WordPress lista mais de 5 milhões de sites usando o Formulário de contato 7, mas estimamos que tenha pelo menos 10 milhões de instalações.
Um dos recursos importantes do Formulário de contato 7 é a capacidade de permitir o upload de arquivos como parte do envio de um formulário. Embora os nomes de arquivos carregados sejam limpos durante o processo de upload, a revisão do patch indica que um invasor pode ignorar algumas das proteções de sanitização de nome de arquivo do Formulário de Contato 7 ao enviar arquivos adicionando caracteres de controle ou separadores invisíveis.
Existem várias atenuações no Formulário de Contato 7 que tornariam esse desvio difícil de explorar totalmente:
- Todos os arquivos carregados são armazenados temporariamente em uma pasta com um nome aleatório e removidos imediatamente após o arquivo ser enviado ao destinatário do formulário. Isso significa que o invasor precisa ser capaz de encontrar o nome da pasta aleatória, o que provavelmente exige que a indexação de diretório esteja ativada, e eles precisam fazer isso antes que o diretório aleatório e o arquivo carregado sejam removidos.
- O Formulário de contato 7 usa um arquivo.htaccess para impedir o acesso direto aos arquivos carregados que seriam necessários para executar o código. Embora isso só funcione em sites que executam o Apache, impede a execução de qualquer arquivo carregado, a menos que uma vulnerabilidade separada esteja presente.
- O nome do arquivo deve terminar com uma extensão de arquivo aceitável. Isso significa que apenas certas configurações do Apache atribuem um manipulador de PHP a qualquer arquivo carregado usando uma extensão dupla.
Se você estiver usando o Contact Form 7 sem a funcionalidade de upload de arquivo, seu site não estará vulnerável a invasores que procuram explorar esta vulnerabilidade. No entanto, ainda recomendamos uma atualização imediata para garantir que seu site esteja protegido.
Clientes do Wordfence, incluindo Os usuários do Wordfence Premium e aqueles que ainda executam a versão gratuita são protegidos pela proteção de upload de arquivos embutida do Firewall, que impede qualquer tentativa de upload de malware conhecido ou arquivos PHP executáveis.
A versão corrigida foi lançada hoje, quarta-feira, 17 de dezembro de 2020. Se o seu site for um dos muitos sites que usam o Formulário de contato 7, recomendamos fortemente que você atualize para a versão 5.3.2 o mais rápido possível.
Embora seja improvável que essa vulnerabilidade seja facilmente explorada, devido à prevalência de sites que usam o Formulário de Contato 7, os invasores ainda podem acabar tendo como alvo esta vulnerabilidade. Com mais tempo ou com um código de prova de conceito publicado, os invasores podem descobrir que a exploração dessa vulnerabilidade é muito mais fácil do que parece agora.
Agradecimentos especiais ao desenvolvedor-chefe Matt Barry e ao líder de controle de qualidade Matt Rusnak por sua ajuda na investigação deste problema.
A postagem Uma exploração desafiadora: a vulnerabilidade de upload de arquivo do formulário de contato 7 apareceu primeiro em Wordfence .
