1 kwietnia 2020 r. wykryto lukę w zabezpieczeniach (Cross Site Scripting (XSS)) we wtyczce Contact Form 7 Datepicker, która została zainstalowana na ponad 100 000 witryn. Na stronie GitHub, autora wtyczki, znajdziemy informacje o tym, że dalej nie jest ona rozwijana ani wspierana. Stąd też tuż po wykryciu podatności, omawiana wtyczka została usunięta z repozytorium WordPressa.

Wtyczka pozwala użytkownikom Contact Form 7 dodać do formularzy specjalne pole pozwalające na dodawanie daty. Sama wtyczka Contact Form 7 Datepicker zawierała kod w AJAXie, Który nie weryfikował uprawnień użytkowników strony. Tym samym wystarczyło, aby zwykły subskrybent wysłał spreparowane żadanie ze złośliwym kodem JS, aby przechować go w ustawieniach wtyczki. Jednak to nie wystarczyło, aby skrypt ruszył do dzieła.

Aby wstrzyknięty skrypt ruszył do akcji to np. administrator musiał jakkolwiek zmodyfikować formularz kontaktowy i zapisać zmiany. Wtedy właśnie wspomniany JS zostawał wykonywany w przeglądarce, pozwalając przejąć sesje administratora, a nawet na stworzenie kolejnych kont administracyjnych.

Czy trzeba już panikować?

Zalecam usunięcie wtyczki Contact Form 7 Datepicker jeśli jej używacie, z pewnością uda się znaleźć odpowiedni do tego zamiennik. Sprawdźcie bazę danych na obecność kodu JavaScript. Jeśli coś znajdziecie to usuńcie niezwłocznie. Poza tym polecam sprawdzić pliki strony.

Pamiętajcie, aby przed każdą taką operacją utworzyć kopię strony. Aha i zapomniałem, sama wtyczka Contact Form 7 jest dalej bezpieczna.