Cabecera-v2-web.jpg

Vulnerabilidad crítica en el plugin Contact Form 7 de WordPress


8.jpg

21/12/2020

Un equipo de seguridad ha reportado el hallazgo de una nueva falla en un popular plugin de WordPress, Contact Form 7, este conocido plugin es utilizado para añadir formularios de contacto en un sitio y gestionar los contactos que dejan los usuarios tras completar el formulario.

La vulnerabilidad, clasificada como CVE-2020-35489, afecta a la versión 5.3.1 y anteriores del plugin. De hecho, se estima que cerca del 70% de los usuarios activos de Contact Form 7 están expuestos a este fallo.

Solo los administradores de sitios pueden modificar el contenido de las formas creadas con Contact Form 7, función controlada por un parámetro llamado capability_type, que define los permisos de usuario. Sin embargo, una falla de seguridad en este parámetro permite a cualquier usuario, sin importar su nivel de privilegios, realizar cambios en los formularios

De ser explotada, esta vulnerabilidad permitiría evadir cualquier restricción de formato de archivo por parte de Contact Form 7. Algunos formularios solicitan a los usuarios cargar archivos en diversos formatos (PDF, JPG, GIF, entre otros); al explotar la vulnerabilidad, un actor de amenazas podría alterar la configuración del plugin para poder cargar ejecutables (PHP, ASP y demás) al sitio objetivo y desplegar otras variantes de ataque.

Recomendación

  • Si está utilizando el complemento Contact Form 7 versión 5.3.1 y anteriores, se recomienda actualizar este complemento de WordPress a su última versión, 5.3.2 ACTUALIZAR.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11