PRZERAŻAJĄCA luka w Contact Form 7… a jednak nie.

Ostatnie dni przed świętami to w branży mały sezon ogórkowy, a o czymś trzeba pisać. Oto więc mamy temat: 5 MILIONÓW INSTALACJI WORDPRESSA ZAGROŻONYCH. ŚMIERCIONOŚNA LUKA WE WTYCZCE CONTACT FORM 7.

Sprawę opisało w swoim clickbaitowym stylu kilkanaście – głównie anglojęzycznych – portali technologicznych. I w sumie nawet tego stylu nie mam im za złe – łatwo dać się ponieść emocjom, wszędzie widząc 5 MILIONÓW ZAGROŻONYCH STRON.

Przyjrzyjmy się zatem, jak zagrożenie przedstawiane jest w branżowych mediach i jak wygląda naprawdę:

• wtyczka Contact Form 7, wg niektórych najpopularniejsza wtyczka do WordPressa na świecie, ma lukę
• luka pozwala wykonać właściwie dowolny kod, czyli kompletnie przejąć stronę
• wtyczka wg mediów ma 5 milionów instalacji więc sprawa jest poważna – wszystkie te strony są rzekomo narażone

Teraz fakty

Po pierwsze, wtyczka ma 5 milionów instalacji w repozytorium WordPressa – faktycznie liczba ta może być nawet dwukrotnie większa. Czyż 10 MILIONÓW ZAGROŻONYCH STRON nie brzmiałoby lepiej?

Aby wykorzystać lukę Twój serwer musi spełniać jednocześnie 4 warunki

• musisz umożliwiać w formularzu załączanie i przesyłanie pliku –  bez tego w ogóle nie ma problemu
• włączony directory indexing (czyli da się podejrzeć zawartość folderów, w których nie ma pliku index.(php|html)
• serwer nie na Apache, lub z problemem uniemożliwiającym użycie przez wtyczkę pliku .htaccess do blokowania wykonywania uploadowanych plików
• dziwna konfiguracja serwera pozwalająca uruchamiać skrypty PHP z plików typu pdf, doc itp. z podwójnym rozszerzeniem

Zaistnienie jednocześnie 4 takich warunków jest mniej więcej tak prawdopodobne, jak wyleczenie złamania otwartego strukturyzowaną wodą inż. Zięby. Przy 10 milionach instalacji może się to zdarzyć, ale dajmy ludziom spokój i nie straszmy ich przed świętami.

Niestraszenie to jedno, ale nie bagatelizujmy też kwestii bezpieczeństwa. Jest już patch, aktualizujmy, aktualizujmy – to (prawie) nigdy nie zaszkodzi. Sylwester pod godziną policyjną zapowiada się niemrawo, ale i tak lepiej spędzić go z Polsatem, niż na czyszczeniu WordPressa z malware’u.