Contact Form 7 外掛漏洞：上傳檔案功能可能被惡意利用，受影響網站高達 500 萬個以上

contact form 7 wordpress wordpress教學外掛漏洞文件上傳漏洞

Mack Chan 2020-12-18 22:55:54 ‧ 1685 瀏覽

分享至

Astra Security 昨天發佈這個緊急通知，新的 Contact Form 7 補救更新已經發佈，請在安全狀況下盡快更新，以免招來不當的損失，下方引述官方的擇要。

引用原文來源：
在 Contact Form 7 中發現的不受限制的文件上傳漏洞，請立即更新

Contact Form 7 是最流行的 WordPress 外掛 之一，它允許用戶在其網站上添加多個聯絡表單。該外掛目前有超過 500 萬個活動安裝。因此，此外掛中的任何漏洞都會使數百萬個網站受到威脅。

其他 WordPress 聯絡表單的取替方案：

✦ 文件上傳漏洞

我們的研究團隊由 Jinson Varghese 領導，最近在 WordPress 外掛 Contact Form 7 5.3.1 和更早版本中發現了一個嚴重性很高的 Unrestricted File Upload 漏洞。通過利用此漏洞，攻擊者可以簡單地上載任何類型的文件，而繞過有關網站上允許的可上傳文件類型的所有限制。此外，它還允許攻擊者將惡意內容 (例如 Web Shell) 注入使用 5.3.1 以下版本的 Contact Form 7 外掛版本的網站中。

Astra Security Research 團隊最初於 2020 年 12 月 16 日通過其支持論壇與 Contact Form 7 外掛開發人員聯繫。在收到外掛開發人員的確認後，我們於 2020 年 12 月 17 日披露了有關此漏洞的全部詳細信息。當天，發布了最終的足夠更新。我們強烈建議您立即將外掛更新到最新版本 5.3.2。

兩週後，將添加有關此漏洞的更多詳細信息，以使用戶有足夠的時間進行更新並採取必要的措施以確保安全。
注意：如果您使用的是 Astra Security 的防火牆和惡意軟件掃描器，則將自動獲得開箱即用的保護。為了獲得更好，更廣泛的覆蓋範圍，我們建議您通過此方法在 WordPress 上安裝 Astra Security
Contact Form 7 (5.3.1 和更早版本) 中的文件上傳漏洞的後果
可以上傳 Web Shell 並註入惡意腳本
如果同一服務器上的網站之間沒有容器化，則完全收購網站和服務器破壞網站。

備注：不少 WordPress 佈景主題 和 頁面編輯器 都內建了 Contact Form 7 表單外掛作為預設的發信工具，所以也值得留意這次的事態發展。

✦ 披露時間表

2020年12月16日 – 首次發現不受限制的文件上傳漏洞
2020年12月16日 – Astra 安全研究與外掛開發人員聯繫並收到確認書
2020年12月17日 – 我們將完整的漏洞披露詳細信息發送給聯繫 Contact Form 7 團隊
2020年12月17日 – 修復漏洞後，最初的不足補丁發布了
2020年12月17日 – 我們向外掛開發人員提供了有關該漏洞的更多詳細信息
2020年12月17日 – 外掛版本 5.3.2 發布了最終的足夠更新

特別提及 Contact Form 7 外掛開發人員Takayuki Miyoshi，他在考慮到外掛用戶的安全性的同時迅速做出響應並解決了該問題。Takayuki 迅速做出反應，採取了行動，並發布了更新，這激發了人們對 Contact Form 7 對安全性的承諾的信心。

建議

隨著網絡威脅形勢向互聯網破壞邁出了又一步，威脅參與者正在積極發現新技術，以壓倒在線業務。為了防止此類插件漏洞，您需要確保已採取所有安全措施來保護您的站點和在線業務。
如果您使用的是 Contact Form 7 外掛版本 5.3.1 及更低版本，強烈建議將該 WordPress 外掛更新為最新版本，即 5.3.2 (在撰寫本文時)。