O Contact Form 7 é o plugin de formulário de contato mais antigo do diretório oficial de extensões do WordPress. Por conta disso, a ferramenta gratuita tem mais de 5 milhões de instalações ativas.
Além das inscrições de contato, os formulários podem ser usados como modelos de pesquisa, calculadoras de preços e de fretes, como seções para lançamento de informações de pagamento em e-commerces ou páginas de doações e para o envio de arquivos — função que gerou uma vulnerabilidade na ferramenta.
Nesta semana, os desenvolvedores precisaram lançar um patch urgente de atualização (em menos de 24 horas depois da descoberta) para mitigar qualquer tentativa de intrusão no Contact Form 7 cuja versão 5.3.2 é a mais atual e deve ser baixada imediatamente, segundo anúncio do autor do plugin.
A vulnerabilidade de upload irrestrito de arquivo foi identificada enquanto a equipe de trabalho realizava uma auditoria de segurança para um de seus clientes. Ela está no arquivo includes / formatting.php, que integra o código do plugin.
A brecha é conhecida como um meio para “ataques de dupla extensão” e foi descoberta e relatada por Jinson Varghese Behanan, analista de cibersegurança da Astra Security.
Os ataques de dupla extensão acontecem quando um arquivo de sistema é carregado com uma extensão dupla, separada por um caractere especial ou não imprimível, como o t — tabulação horizontal que equivale a dar um TAB na string do código.
Dessa forma, o arquivo é enviado com duas extensões, mas apenas a primeira é considerada — justamente a que esconde a intenção maliciosa —, enquanto o usuário acredita que o arquivo tem o formato da segunda extensão.
Quando carregado no servidor, o script executa o código arbitrário. De acordo com Takayuki Miyoshi, autor do plugin, qualquer usuário poderia fazer upload e injetar scripts maliciosos, para desconfigurar ou assumir o controle do site e do servidor.
Isso afeta apenas os formulários que usam campos de upload de arquivo, entretanto, é uma brecha que pode significar restrições críticas na segurança de sites da Web.
A versão 5.3.2 remove o controle, separador e outros tipos de caracteres especiais dos nomes de arquivo para corrigir a vulnerabilidade.
Mais de um milhão de usuários já baixaram o patch de atualização do Contact Form 7, ou seja, cerca de 20% da base de usuários do plugin está protegida. Embora as chances de um ataque sejam mínimas, se você tem o plugin Contact Form 7 no seu WP é imprescindível baixar essa nova versão para mitigar qualquer tentativa de intrusão.
Entretanto, usuários mais desconfiados, podem escolher outras ferramentas de criação de formulários. O WPForms é uma opção ao Contact Form 7 e também permite criar vários modelos para sites embasados no WordPress.
Quer conhecer o WPForms? Então veja o artigo que selecionamos para você!
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo no WriterAccess.
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo em WriterAccess.
