A equipe por trás de um popular plugin do WordPress (Contact Form 7) divulgou uma vulnerabilidade crítica de upload de arquivo e lançou um patch.
O plugin vulnerável tem mais de 5 milhões de instalações ativas, tornando a atualização urgente para os proprietários de sites WordPress.
Plugin do WordPress com uma vulnerabilidade crítica
O projeto Contact Form 7 divulgou uma vulnerabilidade de upload irrestrito de arquivo (CVE-2020-35489) no plugin que pode permitir que um invasor contorne as proteções ao enviar arquivos.
Um invasor pode carregar um arquivo criado com código arbitrário no servidor vulnerável usando o plugin. Então, explorando essa vulnerabilidade, o arquivo pode ser executado como um script pelo invasor para executar o código dentro dele.
O comunicado de segurança do projeto diz:
O Contact Form 7 5.3.2 foi lançado. Este é um lançamento urgente de segurança e manutenção. Nós o encorajamos a atualizá-lo imediatamente.
A vulnerabilidade foi descoberta e relatada por Jinson Varghese Behanan, analista de segurança da informação da Astra Security. Behanan disse:
A vulnerabilidade foi encontrada enquanto fazíamos uma auditoria de segurança para um cliente.
Vendo a gravidade da vulnerabilidade e o número de sites WordPress usando este popular plugin, relatamos rapidamente a vulnerabilidade. O desenvolvedor foi ainda mais rápido na emissão de uma correção. Parabéns à equipe do Contact Form 7 por liderar pelo exemplo.
A versão 5.3.2 corrigida do plugin pode ser baixada do WordPress. Os usuários do Contact Form 7 são aconselhados a aplicar esta atualização urgente imediatamente.
Em caso de dúvidas, entre no grupo do Sempre Update no Telegram. Por fim, caso queira ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.
Bleeping Computer