Un error de seguridad en Contact Form 7 Style, un conocido complemento de WordPress instalado en más de 50.000 sitios, podría permitir la inyección maliciosa de JavaScript en un sitio web de la víctima.
La última vulnerabilidad de seguridad del complemento de WordPress es una falsificación de solicitud entre sitios (CSRF) a un problema de scripts entre sitios almacenados (XSS) en Contact Form 7 Style, que es un complemento del conocido complemento general Contact Form 7. Ocupa un 8,8 sobre 10 en la escala de vulnerabilidad-gravedad de CVSS (CVE está pendiente).
CSRF permite que un atacante induzca a un usuario víctima a realizar acciones que no es su intención. XSS permite a un atacante ejecutar JavaScript arbitrario dentro del navegador de un usuario víctima. Este error conecta los dos enfoques.
Los investigadores de Wordfence dijeron que aún no hay un parche disponible y que las versiones 3.1.9 y anteriores se ven afectadas. WordPress eliminó el complemento del repositorio de complementos de WordPress el 1 de febrero.
Formulario de contacto vulnerable 7 estilo
Contact Form 7 se utiliza para crear, como su nombre indica, formularios de contacto utilizados por sitios web. El estilo vulnerable Contact Form 7 es un complemento que se puede utilizar para agregar detalles adicionales a los formularios que se crean con Contact Form 7.
Para ello, permite a los usuarios personalizar el código de hojas de estilo en cascada (CSS) de un sitio, que se utiliza para dictar la apariencia de los sitios web basados en WordPress. Aquí es donde radica la vulnerabilidad, según los investigadores de Wordfence.
«Debido a la falta de desinfección y la falta de protección nonce en esta función, un atacante podría crear una solicitud para inyectar JavaScript malicioso en un sitio usando el complemento», explicaron, en una publicación, agregando que se retendrán más detalles. para dar a los propietarios del sitio la oportunidad de abordar el problema. «Si un atacante engaña con éxito al administrador de un sitio para que haga clic en un enlace o archivo adjunto, entonces la solicitud podría enviarse y la configuración de CSS se actualizaría correctamente para incluir JavaScript malicioso».
Cómo protegerse contra la inyección maliciosa de JavaScript
Debido a que, al igual que con todas las vulnerabilidades de CSRF, el error sólo se puede aprovechar si un usuario administrador realiza una acción mientras está autenticado en el sitio vulnerable de WordPress, los administradores siempre deben tener cuidado al hacer clic en cualquier enlace presente en el sitio.
«Si cree que debe hacer clic en un enlace, le recomendamos que utilice ventanas de incógnito cuando no esté seguro acerca de un enlace o archivo adjunto», aseguró Wordfence. «Esta precaución puede proteger su sitio de ser explotado con éxito por esta vulnerabilidad junto con todas las demás vulnerabilidades de CSRF».
En este caso, también se insta a los usuarios a desactivar y eliminar el complemento Contact Form 7 Style y buscar un reemplazo, agregaron los investigadores, ya que al parecer que no habrá ningún parche.