Recent a fost descoperită o problemă la Redirection for Contact Form 7, un addon pentru popularul Contact Form 7 creat de Themeisle și folosit pe peste 300.000 de site-uri WordPress: o vulnerabilitate ce permite atacatorilor să încarce fișiere malițioase și, în anumite cazuri, să copieze fișiere de pe server. Contact Form 7 are o prezență îndelungată în ecosistemul WordPress și este unul dintre cele mai utilizate pluginuri pentru formulare, ceea ce face ca orice addon asociat să fie mai expus, și, din păcate, mai tentant pentru cei care caută vulnerabilități.
Redirection for Contact Form 7 este proiectat pentru a redirecționa utilizatorii către o pagină după trimiterea formularului și oferă și opțiuni de stocare a datelor în baza de date. Problema tehnică semnalată de Wordfence se găsește în funcția move_file_to_upload din versiunile până la 3.2.7 inclusiv: lipsește validarea tipului de fișier, permițând astfel încărcări arbitrare. Fiind o vulnerabilitate neautentificată, atacatorul nu trebuie să se autentifice sau să aibă un cont pe site pentru a încerca exploatarea, ceea ce o face mai ușor de folosit decât o problemă care ar necesita privilegii. Totuși, exploatarea completă poate depinde de configurația PHP a serverului: dacă allow_url_fopen este activ, ar putea fi încărcate fișiere de la distanță; PHP are inițial această opțiune activă, dar mulți provideri de hosting shared o dezactivează din motive de securitate, ceea ce reduce probabilitatea unui atac reușit.
Riscul nu dispare numai pentru că allow_url_fopen este adesea setat pe off la hosting-urile partajate; combinația dintre numărul mare de instalații, peste 300.000, și faptul că vulnerabilitatea nu cere autentificare înseamnă că administratorii sau proprietarii de site-uri trebuie să fie precauți. Themeisle a lansat versiunea 3.2.8 care rezolvă problema, iar Wordfence a publicat detalii tehnice despre lipsa validării tipului de fișier și posibilele consecințe. Practic, actualizarea la 3.2.8 sau la o versiune ulterioară reduce considerabil riscul asociat acestei vulnerabilități.
Redirection for Contact Form 7 ilustrează riscurile pe care le pot aduce extensiile terțe pentru WordPress, mai ales când sunt integrate în pluginuri foarte răspândite, precum Contact Form 7, și când analiza vine din partea firmelor de securitate precum Wordfence. Gestionarea adecvată a setărilor PHP, cum ar fi allow_url_fopen, evaluarea numărului de instalări implicate și disponibilitatea patch-urilor (versiunea 3.2.8) sunt toate elemente practice pentru aprecierea expunerii.
Verificați periodic actualizările și configurațiile pluginurilor de pe site-urile voastre?
si cine a instalat 3.2.8 si a verificat hostul (allow_url_fopen off) ca sa blocheze uploaduri neautentificate din Redirection for CF7 (<=3.2.7), sau mai faceti si WAF/restrictii upload/scan periodic?