PRZERAŻAJĄCA luka w Contact Form 7… a jednak nie.

Ostatnie dni przed świętami to w branży mały sezon ogórkowy, a o czymś trzeba pisać. Oto więc mamy temat: 5 MILIONÓW INSTALACJI WORDPRESSA ZAGROŻONYCH. ŚMIERCIONOŚNA LUKA WE WTYCZCE CONTACT FORM 7.

Sprawę opisało w swoim clickbaitowym stylu kilkanaście – głównie anglojęzycznych – portali technologicznych. I w sumie nawet tego stylu nie mam im za złe – łatwo dać się ponieść emocjom, wszędzie widząc 5 MILIONÓW ZAGROŻONYCH STRON.

Przyjrzyjmy się zatem, jak zagrożenie przedstawiane jest w branżowych mediach i jak wygląda naprawdę:

  • wtyczka Contact Form 7, wg niektórych najpopularniejsza wtyczka do WordPressa na świecie, ma lukę
  • luka pozwala wykonać właściwie dowolny kod, czyli kompletnie przejąć stronę
  • wtyczka wg mediów ma 5 milionów instalacji więc sprawa jest poważna – wszystkie te strony są rzekomo narażone

Teraz fakty

Po pierwsze, wtyczka ma 5 milionów instalacji w repozytorium WordPressa – faktycznie liczba ta może być nawet dwukrotnie większa. Czyż 10 MILIONÓW ZAGROŻONYCH STRON nie brzmiałoby lepiej?

Aby wykorzystać lukę Twój serwer musi spełniać jednocześnie 4 warunki

  • musisz umożliwiać w formularzu załączanie i przesyłanie pliku –  bez tego w ogóle nie ma problemu
  • włączony directory indexing (czyli da się podejrzeć zawartość folderów, w których nie ma pliku index.(php|html)
  • serwer nie na Apache, lub z problemem uniemożliwiającym użycie przez wtyczkę pliku .htaccess do blokowania wykonywania uploadowanych plików
  • dziwna konfiguracja serwera pozwalająca uruchamiać skrypty PHP z plików typu pdf, doc itp. z podwójnym rozszerzeniem

Zaistnienie jednocześnie 4 takich warunków jest mniej więcej tak prawdopodobne, jak wyleczenie złamania otwartego strukturyzowaną wodą inż. Zięby. Przy 10 milionach instalacji może się to zdarzyć, ale dajmy ludziom spokój i nie straszmy ich przed świętami.

Niestraszenie to jedno, ale nie bagatelizujmy też kwestii bezpieczeństwa. Jest już patch, aktualizujmy, aktualizujmy – to (prawie) nigdy nie zaszkodzi. Sylwester pod godziną policyjną zapowiada się niemrawo, ale i tak lepiej spędzić go z Polsatem, niż na czyszczeniu WordPressa z malware’u.

2 thoughts on “PRZERAŻAJĄCA luka w Contact Form 7… a jednak nie.

  1. Paweł Mansfeld says:

    Jaka ulga, że są jeszcze tak racjonalnie i samodzielnie myślące osoby. Dostawałem wręcz maile od przestraszonych klientów aby załatać lukę… której nie było. Prawda jest taka, że mało kto używa uploadu w Contact Form 7. Spike w ruchu może i był widoczny ale z tą strategią zaufanie i wiarygodność pewnie będzie maleć.

Skomentuj Jacek Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *