Contact Form 7 外挂漏洞：上传档案功能可能被恶意利用，受影响网站高达 500 万个以上

Astra Security 昨天发布这个紧急通知，新的 Contact Form 7 补救更新已经发布，请在安全状况下尽快更新，以免招来不当的损失，下方引述官方的择要。

引用原文来源：
在 Contact Form 7 中发现的不受限制的文件上传漏洞，请立即更新

Contact Form 7 是最流行的 WordPress 外挂之一，它允许用户在其网站上添加多个联络表单。该插件目前有超过 500 万个活动安装。因此，此插件中的任何漏洞都会使数百万个网站受到威胁。

✦ 文件上传漏洞

我们的研究团队由 Jinson Varghese 领导，最近在 WordPress 外挂Contact Form 7 5.3.1 和更早版本中发现了一个严重性很高的 Unrestricted File Upload 漏洞。通过利用此漏洞，攻击者可以简单地上载任何类型的文件，而绕过有关网站上允许的可上传文件类型的所有限制。此外，它还允许攻击者将恶意内容（例如 Web Shell）注入使用 5.3.1 以下版本的 Contact Form 7 外挂版本的网站中。

Astra Security Research 团队最初於 2020 年 12 月 16 日通过其支持论坛与 Contact Form 7 外挂开发人员联系。在收到插件开发人员的确认後，我们於 2020 年 12 月 17 日披露了有关此漏洞的全部详细信息。当天，发布了最终的足够补丁。我们强烈建议您立即将外挂更新到最新版本 5.3.2。

两周後，将添加有关此漏洞的更多详细信息，以使用户有足够的时间进行更新并采取必要的措施以确保安全。
注意：如果您使用的是 Astra Security 的防火墙和恶意软件扫描器，则将自动获得开箱即用的保护。为了获得更好，更广泛的覆盖范围，我们建议您通过此方法在 WordPress 上安装 Astra Security
联系表单 7（5.3.1和更早版本）中的文件上传漏洞的後果
可以上传Web Shell并注入恶意脚本
如果同一服务器上的网站之间没有容器化，则完全收购网站和服务器破坏网站。

✦ 披露时间表

2020年12月16日 – 首次发现不受限制的文件上传漏洞
2020年12月16日 – A stra安全研究与插件开发人员联系并收到确认书
2020年12月17日 – 我们将完整的漏洞披露详细信息发送给联系表格7团队
2020年12月17日 – 修复漏洞後，最初的不足补丁发布了
2020年12月17日 – 我们向插件开发人员提供了有关该漏洞的更多详细信息
2020年12月17日 – 插件版本5.3.2发布了最终的足够补丁

特别提及Contact Form 7插件开发人员Takayuki Miyoshi，他在考虑到插件用户的安全性的同时迅速做出响应并解决了该问题。 Takayuki迅速做出反应，采取了行动，并发布了更新，这激发了人们对Contact Form 7对安全性的承诺的信心。

建议

随着网络威胁形势向互联网破坏迈出了又一步，威胁参与者正在积极发现新技术，以压倒在线业务。为了防止此类插件漏洞，您需要确保已采取所有安全措施来保护您的站点和在线业务。
如果您使用的是Contact Form 7 外挂版本5.3.1及更低版本，强烈建议将该 WordPress 外挂更新为最新版本，即 5.3.2（在撰写本文时）。