Falha no plugin Contact Form 7 afeta mais de 5 milhões de sites

Os formulários de contato são usados pelos usuários como um canal de comunicação com a marca, seja para esclarecer uma dúvida, seja para solicitar um orçamento. Para as empresas, essa é uma importante ferramenta de coleta de informações dos visitantes, pois garante a continuidade das estratégias de marketing e vendas.

Gerar visitas no site

    O Contact Form 7 é o plugin de formulário de contato mais antigo do diretório oficial de extensões do WordPress. Por conta disso, a ferramenta gratuita tem mais de 5 milhões de instalações ativas.

    Além das inscrições de contato, os formulários podem ser usados como modelos de pesquisa, calculadoras de preços e de fretes, como seções para lançamento de informações de pagamento em e-commerces ou páginas de doações e para o envio de arquivos — função que gerou uma vulnerabilidade na ferramenta.

    Nesta semana, os desenvolvedores precisaram lançar um patch urgente de atualização (em menos de 24 horas depois da descoberta) para mitigar qualquer tentativa de intrusão no Contact Form 7 cuja versão 5.3.2 é a mais atual e deve ser baixada imediatamente, segundo anúncio do autor do plugin.

    A vulnerabilidade de upload irrestrito de arquivo foi identificada enquanto a equipe de trabalho realizava uma auditoria de segurança para um de seus clientes. Ela está no arquivo includes / formatting.php, que integra o código do plugin.

    A brecha é conhecida como um meio para “ataques de dupla extensão” e foi descoberta e relatada por Jinson Varghese Behanan, analista de cibersegurança da Astra Security.

    Os ataques de dupla extensão acontecem quando um arquivo de sistema é carregado com uma extensão dupla, separada por um caractere especial ou não imprimível, como o t — tabulação horizontal que equivale a dar um TAB na string do código.

    Dessa forma, o arquivo é enviado com duas extensões, mas apenas a primeira é considerada — justamente a que esconde a intenção maliciosa —, enquanto o usuário acredita que o arquivo tem o formato da segunda extensão.

    Quando carregado no servidor, o script executa o código arbitrário. De acordo com Takayuki Miyoshi, autor do plugin, qualquer usuário poderia fazer upload e injetar scripts maliciosos, para desconfigurar ou assumir o controle do site e do servidor.

    Isso afeta apenas os formulários que usam campos de upload de arquivo, entretanto, é uma brecha que pode significar restrições críticas na segurança de sites da Web.

    A versão 5.3.2 remove o controle, separador e outros tipos de caracteres especiais dos nomes de arquivo para corrigir a vulnerabilidade.

    Mais de um milhão de usuários já baixaram o patch de atualização do Contact Form 7, ou seja, cerca de 20% da base de usuários do plugin está protegida. Embora as chances de um ataque sejam mínimas, se você tem o plugin Contact Form 7 no seu WP é imprescindível baixar essa nova versão para mitigar qualquer tentativa de intrusão.

    Entretanto, usuários mais desconfiados, podem escolher outras ferramentas de criação de formulários. O WPForms é uma opção ao Contact Form 7 e também permite criar vários modelos para sites embasados no WordPress.

    Quer conhecer o WPForms? Então veja o artigo que selecionamos para você!

    Compartilhe
    Redator Rock Content Rock author vector
    um de nossos especialistas.

    Inscreva-se em nosso blog

    Acesse, em primeira mão, nossos principais posts diretamente em seu email

    Posts Relacionados

    Quer receber mais conteúdos brilhantes como esse de graça?

    Inscreva-se para receber nossos conteúdos por email e participe da comunidade da Rock Content!

    Nosso site é otimizado para cada país em que operamos.

    Ir para site em Português ->