Vulnerabilidad en plugin Contact Form 7 para WordPress

Un equipo de seguridad ha reportado una vulnerabilidad que afecta al plugin Contact Form 7 en su versión 5.3.1 y las anteriores. Contact Form 7 es uno de los complementos de WordPress más populares que permite a sus usuarios agregar múltiples formularios de contacto en su sitio.

Versiones afectadas:

  • Contact Form 7 5.3.1 y versiones anteriores.

La vulnerabilidad, identificada como CVE-2020-35489, permite la carga arbitraria de archivos sin restricciones, lo cual un atacante puede aprovechar para cargar archivos de cualquier tipo, evitando todas las restricciones impuestas con respecto a los tipos de archivos permitidos que se pueden cargar. La vulnerabilidad está clasificada como de gravedad máxima, con calificación CVSS 10.

En un sitio web que usa la versión vulnerable de Contact Form 7 y almacena los archivos en el propio servidor, un atacante puede aprovechar esta vulnerabilidad para cargar contenido malicioso como webshells. La vulnerabilidad solo es explotable cuando el formulario tiene habilitada la carga de archivos.

Impacto:

La explotación exitosa de esta vulnerabilidad puede derivar en el control total del servidor que aloja el sitio web afectado y/o en el que se almacenan los archivos de este sitio web.

Recomendaciones

  • Actualice a la última versión, Contact-form-7 versión 7.5.4. Se debe tener en cuenta que el plugin requiere WordPress 5.5 o superior. En caso de contar con una versión anterior de WordPress, ésta debe ser actualizada también.
    • Para actualizar el plugin, acceda a su > panel de administración > Plugin > Plugin instalado > Actualizar.
  • Deshabilitar la opción de subida de archivo en el formulario.

Referencias

Compartir: