Expertos en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica de carga de archivos sin restricciones en el plugin Contact Form 7, empleado en millones de sitios web de WordPress. La explotación exitosa de esta falla permitiría a los actores de amenazas tomar control completo de los sitios en los que se ejecuta el plugin. La vulnerabilidad fue corregida a través del lanzamiento de la actualización a la versión 5.3.2 de Contact Form 7.
Esta herramienta está presente en más de 5 millones de sitios web, y los expertos estiman que la mayoría de estos ejecutan versiones no actualizadas del plugin. La falla, identificada como CVE-2020-35489, es un error de carga de archivos sin restricciones, según menciona un reporte de Astra Security Research.
Takayuki Miyoshi, desarrollador de Contact Form 7, recibió el reporte y comenzó a trabajar inmediatamente en una corrección: “Nos apegamos a los protocolos recomendados en estos casos; la actualización que corrige esta vulnerabilidad ya ha sido lanzada”, menciona el reporte.
Jinson Varghese, investigador que descubrió el error, afirma que la vulnerabilidad permitiría a los actores de amenazas no autenticados esquivar los mecanismos de seguridad en el proceso de carga de formularios en Contact Form 7, lo que les permitiría cargar un binario ejecutable en los sitios que usan la versión 5.3.1 o anteriores. Posteriormente los hackers pueden desplegar toda clase de actividades maliciosas, incluyendo la modificación del sitio web objetivo, redirección de los visitantes a sitios web de terceros e incluso el despliegue de campañas de phishing.
El investigador destacó la facilidad con la que un actor de amenazas podría haber explotado la vulnerabilidad de forma remota: “Para los usuarios que cuentan con la opción de actualización de plugins de forma automática, no deberán de realizar acciones adicionales; el resto de usuarios deberán actualizar de forma manual”, concluye el reporte.