Уязвимость в плагине Contact Form 7

[wss]

Для тех, кто использует данный плагин, срочно обновитесь или удалите его с сайта. Касается тех, у кого подключена функция отправки файлов в настойках формы.

Цитата:

В WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, устранена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере.
Дополнение Contact Form 7 предназначено для добавления на сайты произвольных форм обратной связи с посетителями. Уязвимость проявляется при включении функции отправки файлов в формах (например, при прикреплении изображения) и позволяет помимо явно разрешённых типов файлов загрузить на сервер файлы с любыми расширениями.

Для обхода проверки на допустимость загружаемого файла достаточно указать символ-разделитель в имени файла, отделив им допустимое расширение. Например, при передаче файла с именем "test.php\t.png" дополнение посчитает, что передана картинка в формате PNG но на диск будет сохранён файл test.php, который затем может быть вызван через прямое обращение к сайту, если в настройках web-сервера явно не запрещено выполнение скриптов в каталоге с загружаемыми данными.

Если Вы используете такой плагин на Вашем Wordpress сайте, рекомендуем незамедлительно его обновить или удалить вообще.

[Reborn S.E.]

Цитата:

Сообщение от wss

срочно обновитесь или удалите его с сайта

Никогда не понимал, зачем включать в формы возможность прицеплять файл. Это очевидная уязвимость и выпилено из всех форм на моих сайтах.

[Coder]

Цитата:

Сообщение от Reborn S.E.

Никогда не понимал, зачем включать в формы возможность прицеплять файл. Это очевидная уязвимость и выпилено из всех форм на моих сайтах.

На многих стояло и стоит - не на ВП, конечно - на самописах - и не только Файлы, а и картинки и прочее, что было бы пользительно - проблем нет.

А потому вывод - дыру везде можно найти, ежели не в порядке продумано.

Просто, надо все готовить правильно) - это истина.

[Vasilisa]

Цитата:

Сообщение от Reborn S.E.

Никогда не понимал, зачем включать в формы возможность прицеплять файл. Это очевидная уязвимость и выпилено из всех форм на моих сайтах.

Что то часто приходится обновлять, неделю назад сделала апдейт, сегодня опять. А есть альтернатива этому плагину?

[Reborn S.E.]

Цитата:

Сообщение от Vasilisa

А есть альтернатива этому плагину?

Дык если вы не включали возможность передачи файла в форме, то у вас и уязвимости нет.

У меня 7-ка еще дополнена плагином для сохранения сообщений. Альтернативы есть, конечно.

[feradet]

Цитата:

Сообщение от wss

Для тех, кто использует данный плагин, срочно обновитесь или удалите его с сайта. Касается тех, у кого подключена функция отправки файлов в настойках формы.

Если не поддаваться желтой прессе, а понимать проблему, то станет понятно что
а) проблема не столько плагина, сколько php (привет самописам, ага )
б) в реальности проблемы практически нет - это недоступный временный файл, высылаемый на почту. Но даже если 0,0001% юзеров размещают этот файл на сервере, то у них должно хватить ума менять ему имя / не размещать в доступном из вне каталоге в котором можно выполнять php.

И даже если не понимать технические вещи, то достаточно умения читать:

Цитата:

Практическая возможность эксплуатации уязвимости в типовых конфигурациях оценивается как низкая, так как по умолчанию Contact Form 7 для серверов с Apache httpd создаёт в каталоге с загрузками .htaccess, запрещающий прямой доступ к загружаемым файлам ("Deny from all").

Эксплуатацию уязвимости также усложняет то, что файл сохраняется во временном каталоге со случайным именем и удаляется сразу после отправки получателю, т.е. для определения имени временного каталога на сервере должен быть разрешён вывод содержимого каталогов (Options Indexes в Apache httpd) и атакующий должен успеть отправить запрос к серверу до удаления информации. Для атаки сервер также должен допускать выполнение PHP-скриптов в обрабатываемом каталоге.