Podatność wtyczki Contact-form-7

W dniu 17 grudnia 2020 została wydana najnowsze wersja wtyczki: Contact Form 7 5.3.2. Jest to jedna z najpopularniejszych wtyczek do obsługi formularzy w WordPressie.

Nowe wydanie związane jest z krytyczną podatnością wtyczki we wcześniejszych wersjach. Podatność polega na możliwości ominięcia zabezpieczeń we wtyczce oraz wgranie (upload) dowolnego pliku na serwer, który można następnie wykonać jako skrypt na serwerze. Dzięki takiemu działaniu, potencjalny włamywacz może w zasadzie wykonać dowolny skrypt na koncie hostingowym, wgrać dowolne exploity, wysyłać, spam, odczytać hasła do bazy danych WordPressa itp.

Zalecana jest natychmiastowa aktualizacja wtyczki Contact Form 7 co najmniej do wersji 5.3.2

Na naszych serwerach działa na wszystkich kontach system anty-exploitowy, zatem część exploitów, które mogą zostać wgrane przez dziurę w tej wtyczce może zostać powstrzymanych, ale jednak powstają coraz częściej nowe, a wyciek danych np. danych dostępowych do bazy danych może być użyty podczas zupełnie innych, późniejszych ataków.

źródło: https://contactform7.com/2020/12/17/contact-form-7-532/

Wojciech Babicz