В популярном дополнении к CMS WordPress нашли уязвимость

Уязвимость CVE-2020-35489 выявлена в популярном дополнении к CMS WordPress (система управления содержимым от англ. content management system — прим. ИА Красная Весна) Contact Form 7 5.3.2, насчитывающем более 5 млн активных установок, сообщает 18 декабря сайт проекта OpenNet.

Данное дополнение предоставляет пользователям возможность использовать на сайтах произвольные формы обратной связи. Уязвимость позволяет загрузить на сервер скрипт, который при небезопасной настройке программного обеспечения возможно запустить прямо на сервере.

Это становится возможно благодаря символам разделителям, например, \t, которые могут содержаться в названии загружаемого через форму файла.

Опасность этой уязвимости признана низкой, т. к. в типовых конфигурация настройки сервера с WordPress произвольные скрипты запрещено запускать на сервере, а также время жизни загруженного файла через данное дополнение невысокое из-за его загрузки во временный каталог операционной системе, данные в котором регулярно чистятся.

Данная проблема в Contact Form 7 5.3.2 уже решена.