Blog da Amicatek

Vulnerabilidade no plugin Contact Form 7 Captcha

De acordo com informações do site Patchstack, foi publicada hoje vulnerabilidade encontrada no plugin Contact Form 7 Captcha nas versões iguais ou anteriores a 0.1.1. A nova versão (0.1.2) já foi lançada e está disponível no repositório do WordPress. O plugin atualmente tem mais de cem mil instalações ativas.

Image 4 | Contact Form 7 Captcha

O problema, Reflected Cross-Site Scripting (XSS), foi encontrado pelo pesquisador Zhong Fu Su da Wuhan University.

De acordo com a análise, o plugin não escapa do parâmetro $_SERVER[‘REQUEST_URI’] antes de enviá-lo de volta em um atributo, o que pode levar ao Reflected Cross-Site Scripting em navegadores antigos.

Ataques como este costumam permitir que pessoas sem acesso ao site consigam incluir redirecionamentos ou banners de anúncios para visitantes do site. Normalmente, o usuário precisará interagir com algum link malicioso que aponte para uma página controlada pelo invasor, como sites maliciosos, anúncios ou similares.

Facebook
LinkedIn
WhatsApp
Telegram
Email