WordPressの人気プラグイン「Contact Form 7」に脆弱性が見つかりました。ホストサーバー内でスクリプトファイルを実行できる可能性があるとのことです。今回は、この脆弱性CVE-2020-35489について紹介します。
概要
攻撃者は、対象プラグインを持つサーバーに対して、悪意あるコードを含む加工したファイルをアップロードすることで、これをスクリプトとして実行することで、サーバー内部でコードを実行可能になります。本脆弱性CVE-2020-35489は、セキュリティ監査時に発見されたということです。CVSSはまだ提供されていません。
脆弱性を含む対象バージョンは以下と報告されています。
- 脆弱性を含むモジュール:Contact Form 7 バージョン7.5.3.2以前のモジュール
対処方法
人気プラグイン「Contact Form 7」を利用されている方はバージョンを確認し、以下のパッチがリリースされているので適用するようにしましょう。
- 修正パッチ:Contact Form 7 バージョン7.5.3.2
詳細
「Contact Form 7」はお問合せフォームを作成する際に便利なWordPressプラグインです。利用者は全世界で500万サイトともいわれています。
今回の問題点は、プラグイン内でアップロードされたファイル名から制御文字などの特殊文字を削除しないことに起因します。攻撃者は特殊文字で区切られた2重拡張子を含むファイル名をアップロードすることにより、脆弱性のあるプラグインは区切り文字以降をカットして、前半部分の文字列をファイル名として任意のコードを実行してします。
まとめ
本件を報告からわずかの期間で修正版リリースにこぎつけた、Contact Form 7プラグインの開発チームには好感が持てます。
まだ攻撃事例の報告はない模様ですが、利用者は不正利用されないように早めのアップデートを心がけましょう。
以上、WORDPRESSの脆弱性CVE-2020-35489についての紹介でした。
コメント