Le studio Pictus intervient mensuellement sur de nombreux sites sous WordPress pour des missions de sauvegarde, de veille technique, de mises à jour des composants… Dans ce cadre nous avons identifié une importante faille de sécurité :
Si votre site est sous WordPress il est fort à parier que Contact Form 7 (CF7) y est installé. Il est privilégié par la plupart des développeurs pour intégrer des formulaires de contact. Sa grande modularité et sa capacité de personnalisation en font une des solutions les plus utilisées.
CF7 permet entre autre de proposer l’upload de fichiers au travers des formulaires qu’il génère. C’est ici que s’est glissée la faille.
Il est possible de mettre à mal l’intégrité du site en utilisant ce canal et en exploitant le dossier temporaire créé par le plugin pour déposer les fichiers légitime que votre internaute souhaite vous adresser.
Nous recommandons vivement de mettre à jour votre version de CF7 en 5.3.2 qui voit cette faille colmatée.