Jeśli używasz na swojej stronie wtyczki Contact Form 7 lepiej loguj się do panelu administratora WordPress i aktualizuj wtyczkę już teraz. Szczególnie jeśli używasz w formularzu pola do przesyłania plików przez formularz.
Wtyczka Contact Form 7
Wtyczka Contact Form 7 to jedna z najpopularniejszych wtyczek do tworzenia formularzy kontaktowych na stronach internetowych opartych o platformę WordPress. Sam używam właśnie tej wtyczki do budowania formularzy na swoich stronach jak i stronach, które wykonuje dla klientów. Dzięki niej można w prosty sposób stworzyć zarówno prosty jak i bardziej zaawansowany formularz.
Luka w zabezpieczeniach Contact Form 7
Jedną z opcji dostępnych we wtyczce Contact Form 7 jest dodanie pola pozwalającego na przesłanie pliku w formularzu. I właśnie w tym polu wykryto podatności związane z możliwością przesyłania plików, w których nazwach mogą znajdować się znaki specjalne. Dzięki temu, możliwe jest przesłanie pliku, który można uruchomić jako skrypt na serwerze.
W dniu 16 grudnia 2020 roku Jinson Varghese Behanan przesłał do twórcy wtyczki Contac Form 7, Takayuki Miyoshi, informację o znalezieniu luki w jego wtyczce do formularzy. Developer zareagował szybko i następnego dnia wydał poprawkę naprawiająca lukę.
Na wykorzystanie tej podatności narażona jest wtyczka w wersji 5.3.1 i starszej. Poprawka została dodana w wersji 5.3.2. i właśnie do tej wersji powinniście zaktualizować wtyczkę.
Jak zaktualizować wtyczkę Contact Form 7?
Także, moi mili, logujemy się do panelu administratora WordPress i aktualizujemy prędziutko wtyczkę Contact Form 7 do wersji 5.3.2 minimum.
Przechodzimy do zakładki Aktualizacje (Kokpit -> Aktualizacje), zaznaczamy „ptaszka” czy też „dzióbka” obok wtyczki, którą chcemy zaktualizować, a następnie klikamy przycisk Zaktualizuj wtyczki.
Alternatywnie możemy także przejść bezpośrednio do zakładki z wtyczkami i tam dokonać aktualizacji.
Więcej informacji o luce we wtyczce Contact Form 7 znajdziecie na stronach:
- https://contactform7.com/2020/12/17/contact-form-7-532/#more-38314
- https://www.jinsonvarghese.com/unrestricted-file-upload-in-contact-form-7/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35489
Photo by Shahadat Rahman on Unsplash