Portada Wordpress Contact Form 7 – Posible Vulnerabilidad que Puede Afectar a más de 5 Millones de Sitios WordPress
Si administras algún sitio WordPress, es muy probable que conozcas el plugin Contact Form 7 y que seas uno de los más de 5 millones de usuarios que lo utilizan en su instalación de WordPress.
Es tremendamente popular por la sencilla razón de que funciona muy bien, es compatible con todos o la mayoría de servicios importantes de terceras partes, es gratuito, traducido a todos los idiomas y mucho más.
Es un plugin que muchos consideran indispensable y por eso, si se encuentra algún problema de seguridad o vulnerabilidad en este plugin, saltan todas las alarmas, como es el caso que tenemos hoy.
El pasado 16 de diciembre de 2020, la empresa de seguridad Astra Security descubrió un problema de seguridad en el plugin Contact Form 7 muy grave.
El problema de seguridad afecta a las versión 5.3.1 del plugin y todas las anteriores y como hemos comentado se trata de un problema muy grave.
Un atacante puede aprovechar la vulnerabilidad en el plugin Contact Form 7 para cargar cualquier tipo de archivo en el WordPress.
Esto es muy peligroso y el plugin se puede configurar para restringir los tipos de archivos que se pueden o no subir desde el formulario, pero el atacante puede saltarse esta restricción y subir cualquier tipo de archivo.
Inyectar código malicioso, redirecciones o scripts para escalar permisos es lo que llegaría a continuación, nada bueno para tu sitio web y la salud digital de tus usuarios.
Como verás se trata de una vulnerabilidad muy grave así que debes actualizar o antes posible a la versión 5.3.2 o superior.
Si utilizas el plugin Contact Form 7, actualiza a la versión 5.3.2 o superior cuanto antes.
Si quieres ver el artículo original de Astra informando sobre el caso, puedes hacerlo desde aquí, pero está todo en perfecto inglés.
Hay algo de polémica con esto. Los expertos en seguridad que han detectado el problema, Astra Security , parece que son los únicos que han detectado el problema.
Ningún otro auditor de seguridad ha encontrado ningún fallo de seguridad en la versión 5.3.1 del plugin Contact Form o al menos no han sido capaces de encontrar y reproducir el error tan importante del que Astra han informado.
El otras ocasiones, los auditores de seguridad ofrecen lo que se llama una prueba de concepto.
Esto es documentar la vulnerabilidad y cómo un atacante podría explotarla, de esta forma, si se puede revisar los fallos en la aplicación y crear reglas firewall para evitar que se pueda explotar el problema.
Desde Astra han indicado que, según podemos ver en las estadísticas del plugin, muchos usuarios siguen sin actualizar el plugin, por lo que son vulnerables al problema.
No obstantes, si ofrecen la prueba de concepto al resto del mundo, les estarían indicando con el dedo el camino a seguir a los atacantes y por este motivo prefieren mantener en secreto el descubrimiento del error de seguridad.
Indica, eso si, que no han detectado ningún ataque que aproveche esta vulnerabilidad, tal vez porque sea muy compleja o tengan que tener en cuenta varios factores que deben ejecutarse al mismo tiempo para poder ser explotada.
En cualquier caso, el desarrollador lanzó una nueva versión de su plugin, por lo que parece ser que el problema existía, aunque faltaría saber qué situaciones deben producirse al mismo tiempo para que el problema pueda ser explotado por un atacante.
También hay que tener en cuenta que Astra Security es una empresa que vende su productos de seguridad y están en su derecho de no compartir esta información con el resto de investigadores y auditores… al menos mientras la amenaza no esté siendo explotada en la vida real.
Pero si tienes instalado el plugin no dudes en actualizarlo cuanto antes. Si creemos lo que indica Astra, se trata de un problema muy grave, del cual podemos protegernos con una simple actualización.