O
Contact Form 7 é o plugin de formulário de contato
mais antigo do diretório oficial de extensões do
WordPress.
Por conta disso, a ferramenta gratuita tem mais de 5 milhões de
instalações ativas.
Além das inscrições de contato, os formulários podem ser
usados como modelos de pesquisa, calculadoras de preços e de fretes,
como seções para lançamento de informações de pagamento em
e-commerces
ou páginas de doações e para o envio de arquivos — função que
gerou uma vulnerabilidade na ferramenta.
Nesta semana, os desenvolvedores precisaram lançar um
patch urgente de atualização (em menos de 24 horas depois
da descoberta) para mitigar qualquer tentativa de intrusão no
Contact
Form 7 cuja versão 5.3.2 é a mais atual e deve ser baixada
imediatamente, segundo
anúncio do autor do plugin.
A vulnerabilidade de upload irrestrito de arquivo
foi identificada enquanto a equipe de trabalho realizava uma
auditoria de segurança para um de seus clientes. Ela está no
arquivo includes / formatting.php, que integra o código do plugin.
A brecha é conhecida como um meio para “ataques de
dupla extensão” e foi descoberta e relatada por
Jinson Varghese Behanan, analista de cibersegurança da Astra
Security.
Os ataques de dupla extensão acontecem quando um arquivo de
sistema é carregado com uma extensão dupla, separada por um
caractere especial ou não imprimível, como o t — tabulação
horizontal que equivale a dar um TAB na string do código.
Dessa forma, o arquivo é enviado com duas extensões, mas apenas
a primeira é considerada — justamente a que esconde a
intenção maliciosa —, enquanto o usuário acredita que o
arquivo tem o formato da segunda extensão.
Quando carregado no servidor, o script executa o código
arbitrário. De acordo com Takayuki Miyoshi, autor do plugin,
qualquer usuário poderia fazer upload e injetar scripts maliciosos,
para desconfigurar ou assumir o controle do site e do servidor.
Isso afeta apenas os formulários que usam campos de
upload de arquivo, entretanto, é uma brecha que pode
significar restrições críticas na segurança de sites da Web.
A versão 5.3.2 remove o controle, separador e outros tipos de
caracteres especiais dos nomes de arquivo para corrigir a
vulnerabilidade.
Mais de um milhão de usuários já baixaram o patch de
atualização do Contact Form 7, ou seja, cerca de 20% da base de
usuários do plugin
está protegida. Embora as chances de um ataque sejam mínimas, se
você tem o plugin Contact Form 7 no seu WP é imprescindível baixar
essa nova versão para mitigar qualquer tentativa de intrusão.
Entretanto, usuários mais desconfiados, podem escolher outras
ferramentas de criação de formulários. O WPForms é uma opção ao
Contact Form 7 e também permite criar vários modelos para sites
embasados no WordPress.
Quer conhecer o WPForms? Então
veja o artigo que selecionamos para você!
