Vulnerabilidad crítica en el plugin Contact Form 7 de WordPress

Un equipo de seguridad ha reportado el hallazgo de una nueva falla en un popular plugin de WordPress, Contact Form 7, este conocido plugin es utilizado para añadir formularios de contacto en un sitio y gestionar los contactos que dejan los usuarios tras completar el formulario.

La vulnerabilidad, clasificada como CVE-2020-35489, afecta a la versión 5.3.1 y anteriores del plugin. De hecho, se estima que cerca del 70% de los usuarios activos de Contact Form 7 están expuestos a este fallo.

Solo los administradores de sitios pueden modificar el contenido de las formas creadas con Contact Form 7, función controlada por un parámetro llamado capability_type, que define los permisos de usuario. Sin embargo, una falla de seguridad en este parámetro permite a cualquier usuario, sin importar su nivel de privilegios, realizar cambios en los formularios

De ser explotada, esta vulnerabilidad permitiría evadir cualquier restricción de formato de archivo por parte de Contact Form 7. Algunos formularios solicitan a los usuarios cargar archivos en diversos formatos (PDF, JPG, GIF, entre otros); al explotar la vulnerabilidad, un actor de amenazas podría alterar la configuración del plugin para poder cargar ejecutables (PHP, ASP y demás) al sitio objetivo y desplegar otras variantes de ataque.

Recomendación

Si está utilizando el complemento Contact Form 7 versión 5.3.1 y anteriores, se recomienda actualizar este complemento de WordPress a su última versión, 5.3.2 ACTUALIZAR.

Referencias

Compartir: