500万サイトに導入されているContact Form 7プラグイン5.3.1以下にファイルアップロード可能(最も危険性の高い)脆弱性が発見されました。

注意喚起 Contact Form 7 5.3.1以下にファイルアップロードの脆弱性

Astra社の発見したこの脆弱性によると、500万サイトが影響を受けるこの脆弱性により

・ウェブシェル(悪意のあるプログラム)をアップロードして悪意のあるスクリプトを注入することが可能
・同一サーバー上のウェブサイト間でコンテナ化が行われていない場合は、サーバー内全てのサイトへ脆弱性による被害が拡大する可能性があるとのこと

厳重な警戒が必要となります。

CVEスコア(脆弱性の危険度)10ポイントと最高レベルの脆弱性スコアが付与されました
https://nvd.nist.gov/vuln/detail/CVE-2020-35489

対処方法

1 Contact Form 7を最新バージョンにアップデートします

2 上記が困難な場合は脆弱性のある該当のファイルに手作業でパッチを当てます
Contact Form7開発者の方のプログラム修正履歴を見ると、下記の修正が脆弱性をふさぐと思われます。

https://github.com/takayukister/contact-form-7/commit/2e45060ff0b4610e9665d996bc91f725ff5fc381

wp-content/plugins/contact-form-7/includes/formatting.php
のwpcf7_antiscript_file_name 関数の下の$filenameが一度basename関数を通った後に

$filename = preg_replace( '/[\pC\pZ]+/i', '', $filename ); //この行を追加

というように上記1行を追加してください。

脆弱性検査は【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスドクターワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はワードプレスドクターにお気軽にお送りください

関連記事:

  1. CONTACT FORM 7で送信成功後に送信データを取得して様々なことを行うPHPコード
    CONTACT FORM 7で送信成功後に送信データ(POSTデータ)などを取得する方法を解説いたします。...
  2. ワードプレス2022年現在よく使われている脆弱性のあるプラグインTOP5
    2022年現在よく使われている脆弱性のあるプラグインTOP5 をお知らせいたします。このプラグインを利用されているサイト様は早めにアップデートしましょう。...
  3. ワードプレスのContact Form 7でメール送信時に任意の関数を実行する方法
    ワードプレスのContact Form 7でメール送信直前に任意の処理を実行するプログラムをご紹介いたします。...
  4. ワードプレスにおけるプログラムの脆弱性とは?
    ワードプレスやプラグインで脆弱性をふさぐためにアップデートが必要と言われますが、それでは脆弱性とは何なのかにつきまして最も危険なタイプの脆弱性について解説いたします。...
  5. Contact form7 でユーザーの選択によってメールの配信先を変える方法
    こんにちは、今回はワードプレスドクターにお問い合わせの合ったContact Form 7でユーザーが選択した項目によって届くメールアドレスを変更されたいとのご質問について、どのようにそれを行うのかを解説したく思います...
  6. 無料でできるワードプレスのセキュリティー対策5選
    ワードプレスのセキュリティー対策で無料でできるものを5つご紹介いたします。...