O Contact Form 7 é um plug-in popular e atualmente ativo em mais de 5 milhões de sites WordPress que foi atualizado na última semana para a versão 5.3.2. A atualização inclui um patch que corrige uma vulnerabilidade grave, do tipo Unrestricted File Upload, que faz com que um atacante possa executar várias ações maliciosas, inclusive assumir o controle de um site ou de todo o servidor que hospeda uma página web.
O Contact Form 7 é usado para criar formulários personalizados e, assim, gerenciar a criação de novos contatos dentro de um site feito em WordPress.
A vulnerabilidade, classificada como CVE-2020-35489, afeta a versão 5.3.1 e anteriores do plug-in. Estima-se que cerca de 70% dos usuários do Contact Form 7 estão expostos a essa falha.
A falha foi descoberta por pesquisadores da empresa Astra. Eles relataram a vulnerabilidade aos desenvolvedores do plug-in, que rapidamente corrigiram a vulnerabilidade com a atualização para a versão 5.3.2.
A vulnerabilidade faz com que o Contact Form ignore quaisquer restrições de formato de arquivo, permitindo a um atacante carregar um executável malicioso em um site que tenha o upload de arquivo habilitado e, em seguida, executar uma versão desatualizada do plug-in. A exploração dessa falha possibilita a execução de várias ações, como injetar um script malicioso em um site, assumir o controle de uma página ou realizar um defacement.
A recomendação é que os administradores de sites que usam o plug-in Contact Form 7 instalem a atualização mais recente o mais rápido possível.
