Nei giorni scorsi gli sviluppatori del plugin Contact Form 7 hanno segnalato una pericolosa vulnerabilità che potrebbe compromettere i siti che lo utilizzano. Il plugin in questione, disponibile per il CMS WordPress, consente di gestire i moduli di contatto presenti negli oltre 5 milioni di siti che lo utilizzano, ma potrebbero anche essere di più.
La versione 5.3.1 e quelle precedenti, infatti, presenterebbero una falla riguardante l’upload di file prima di inviare il form di contatto. I malintenzionati potrebbero sfruttare il problema per caricare file malevoli sui siti aggirando la sanificazione prevista dal plugin. I file illegittimi caricati sarebbero poi in grado di eseguire script malevoli all’interno dei siti o addirittura al danneggiamento del database.
Per poter approfittare della falla di sicurezza, però, sono necessarie alcune caratteristiche di base non comuni a tutti i siti WordPress. Innanzitutto, l’attaccante deve riuscire a trovare la cartella creata in modo casuale nella quale vengono inseriti i file prima che quest’ultima venga cancellata come da prassi.
Tuttavia, l’attacco risulta più difficile da perpetrare in due casi: per coloro che non prevedono l’upload di file nel modulo di contatto e per coloro che utilizzano plugin di sicurezza con firewall integrati (come WordFence).
Per maggiore sicurezza, però, è strettamente necessario installare al più presto possibile la versione 5.3.2 di Contact Form 7 rilasciata subito dopo la scoperta della vulnerabilità.