Se ha detectado una vulnerabilidad en Contact Form 7 Style

En LucusHost queremos mantenerte siempre al tanto de todas las novedades de WordPress, así que hoy nos toca informar de una nueva vulnerabilidad detectada en un plugin muy popular del repositorio oficial: Contact Form 7 Style.

Contact Form 7 Style es un plugin adicional a Contact Form 7, uno de los plugins más utilizados para crear formularios de contactos. Esta extensión permite personalizar al máximo la apariencia de los formularios de tu página a través de código CSS.

Según los datos del repositorio oficial de WordPres, se estima que esta extensión está activa en más de 50.000 instalaciones de WordPress.

¿En qué consiste esta vulnerabilidad?

El equipo de Wordfence detectó una vulnerabilidad en Contact Form 7 Style de tipo CSRF (Cross Site Request Forgery), mediante el cual se podría realizar un ataque XSS (Cross Site Scripting) almacenado. Esta vulnerabilidad afecta a todas la versión 3.1.9 y anteriores.

¿Qué quiere decir esto? Un usuario malintencionado puede engañar al administrador de una web para que haga clic en un enlace o archivo adjunto que contiene código malicioso con el objetivo de hacerse con los datos de sesión de una aplicación, en este caso WordPress. De esta forma, el atacante puede loguearse, hacer cambios o inyectar malware en el sitio web.

Eso sí, ten en cuenta que esto solamente puede ocurrir si el administrador está logueado en WordPress cuando hace clic o abre el archivo infectado. Es por ello que muchas veces, si es un enlace desconocido o un sitio poco fiable siempre se abra en una ventana de incógnito.

Aunque esta vulnerabilidad ya fue reportada el pasado 9 de diciembre de 2020, tras no recibir respuesta por parte de los desarrolladores de esta extensión, el equipo de plugins de WordPress decidió retirarlo del repositorio oficial esta misma semana:

¿Y ahora qué tengo que hacer?

Lo primero de todo, revisa que no tengas instalada esta extensión en tu WordPress. Y, si la tienes, ya sea activada o desactivada, desinstala el plugin de tu aplicación.

Normalmente, cuando se detecta alguna vulnerabilidad, ya está disponible una nueva versión con un parche de seguridad. En este caso, el plugin ha sido retirado temporalmente, por lo que no hay otra opción.

Eso sí, ten en cuenta que esta vulnerabilidad afecta únicamente al plugin Contact Form 7 Style que es independiente al plugin Contact Form 7. Así que, si únicamente haces uso de este último, no tienes nada que preocuparte.

¿Has desinstalado el plugin y quieres que le echemos un ojo a tu web? Si tienes tu Hosting WordPress con nosotros y no sabes como hacerlo o  quieres asegurarte de que todo está en orden, no dudes en abrir un ticket con soporte o llamarnos y lo revisamos. Estaremos encantados de echarte una mano 🙂