Vulnerabilidade não corrigida: 50.000 sites WP devem encontrar alternativa para o formulário de contato 7 estilo

Em 9 de dezembro de 2020, a equipe do Wordfence Threat Intelligence descobriu uma falsificação de solicitação entre sites ( CSRF) para vulnerabilidade de Stored Cross Site Scripting (XSS) no Formulário de Contato 7 Style , um plugin do WordPress instalado em mais de 50.000 sites. Observe que este é um plug-in separado do Formulário de contato 7 e foi projetado como um complemento desse plug-in.

Entramos em contato com o desenvolvedor do plug-in inicialmente em 9 de dezembro de 2020. Não recebemos resposta por uma semana e o acompanhamos em 16 de dezembro de 2020. Depois de não receber resposta por quase 30 dias e conceder tempo extra devido ao feriado escalamos o problema para a equipe de plug-ins do WordPress em 4 de janeiro de 2021, fornecendo todos os detalhes da vulnerabilidade no momento do relatório. A equipe de plug-ins do WordPress nos respondeu no mesmo dia informando que notificou o desenvolvedor do plug-in sobre nossas descobertas, dando-lhes 30 dias para corrigir o problema ou responder antes do encerramento do plug-in. Infelizmente, nem a equipe de plug-ins do WordPress nem a equipe do Wordfence Threat Intelligence receberam uma resposta. Esta semana, em 1º de fevereiro de 2021, o plug-in foi removido do repositório devido à falta de resposta do desenvolvedor do plug-in.

Todos os usuários do Wordfence, incluindo o Wordfence gratuito e Usuários do Wordfence Premium , estão protegidos contra qualquer exploração que vise esta vulnerabilidade pela proteção XSS embutida do Firewall do Wordfence. Independentemente disso, é altamente recomendável desativar e remover este plug-in e encontrar um substituto, pois ele parece não ser mais mantido por seu desenvolvedor.

Contact Form 7 Style é um plug-in que pode ser usado para adicionar estilos adicionais a formulários criados com o Contact Form 7, um dos plug-ins mais populares do WordPress. Como parte de sua funcionalidade, o Estilo do Formulário de Contato 7 permite que os usuários personalizem o código Cascading Style Sheets (CSS) para personalizar a aparência dos formulários de contato elaborados pelo Contact Form 7.

Devido à falta de higienização e falta de proteção nonce neste recurso, um invasor pode criar uma solicitação para injetar JavaScript malicioso em um site usando o plug-in. Se um invasor conseguir enganar o administrador de um site para que ele clique em um link ou anexo, a solicitação poderá ser enviada e as configurações CSS serão atualizadas com êxito para incluir JavaScript malicioso.

É importante observar que, como ocorre com todas as vulnerabilidades CSRF, esta vulnerabilidade só pode ser explorada se um usuário com recursos administrativos executar uma ação enquanto estiver autenticado no site WordPress vulnerável . Como recomendação geral, os administradores do site devem estar sempre alertas ao clicar em qualquer link. Se você sentir que deve clicar em um link, recomendamos o uso de janelas anônimas quando não tiver certeza sobre um link ou anexo. Essa precaução pode proteger seu site de ser explorado com sucesso por esta vulnerabilidade junto com todas as outras vulnerabilidades CSRF.

Como posso me proteger?

Recomendamos fortemente desativar e remover o plug-in Contact Form 7 Style e encontrar um substituto, pois parece que esse plug-in não será corrigido em um futuro próximo. Se você deve manter o plugin instalado em seu site até encontrar um substituto, e você está executando o Wordfence Web Application Firewall, então você pode ter certeza de que seu site estará protegido contra qualquer exploits que visem esta vulnerabilidade enquanto procura por um substituto.

Devido ao número de sites afetados pelo fechamento deste plug-in, estamos fornecendo intencionalmente detalhes mínimos sobre essa vulnerabilidade para fornecer aos usuários tempo suficiente para encontrar uma solução alternativa. Podemos fornecer detalhes adicionais posteriormente, à medida que continuamos a monitorar a situação.