Contact Form 7 es un popular plugin activo en más de 5 millones de sitios de WordPress que fue actualizado el día de ayer a la versión 5.3.2. Esta actualización incluye un parche que corrige una vulnerabilidad severa, del tipo Unrestricted File Upload, que permitiría a un atacante realizar varias acciones maliciosas, incluso tomar el control de un sitio o de todo el servidor que aloja el sitio.
Este conocido plugin para WordPress es utilizado para añadir formularios de contacto en un sitio y gestionar los contactos que dejan los usuarios tras completar el formulario.
La vulnerabilidad, clasificada como CVE-2020-35489, afecta a la versión 5.3.1 y anteriores del plugin. De hecho, se estima que cerca del 70% de los usuarios activos de Contact Form 7 están expuestos a este fallo.
Los responsables del hallazgo fueron investigadores de la firma Astra, quienes reportaron el fallo a los desarrolladores del plugin que rápidamente corrigieron la vulnerabilidad con la actualización a la versión 5.3.2.
La vulnerabilidad permite evadir cualquier restricción de formato de archivo por parte de Contact Form y que un atacante pueda subir un ejecutable malicioso en un sitio que tenga habilitada la función de subir archivos y que corra una versión desactualizada del plugin. Esto permitiría al atacante realizar varias acciones, como inyectar un script malicioso en un sitio, tomar el control del mismo o realizar un defacement.
Se recomienda a los propietarios o administradores de sitios que utilicen este plugin que instalen la última actualización cuanto antes.