В популярном плагине Formcraft — конструкторе форм для WordPress, существует уязвимость обхода ограничений веб-приложения для загрузки произвольных php файлов. Злоумышленники используют т.н. Google dork для поиска уязвимых сайтов: «powered by Formcraft». Признаком наличия уязвимости является вывод {«failed»:»No file found 2″} по адресу target.com/wp-content/plugins/formcraft/file-upload/server/php/upload.php.

Уязвимость связана с недостаточной фильтрацией входящих данных. С помощью специализированного  CSRF скрипта атакующий может загрузить php-файл c произвольным содержимым:
<form method=«POST» action=«target.com/wp-content/plugins/formcraft/file-upload/server/php/upload.php»
enctype=«multipart/form-data»>
<input type=«file» name=«files[]» /><button>Upload</button>
</form>

С помощью этой формы можно загрузить произвольный php-файл, к названию которого будет добавлен произвольный код вида: 154df070a157db—shell.php (после аплоада название файла будут выведено в теле страницы. После этого атакующий может воспользоваться залитым веб-шеллом по адресу: target.com/wp-content/plugins/formcraft/file-upload/server/php/files/154df070a157db—shell.php. Стоить учитывать, что загружаемый файл может иметь множество исполняемых расширений php.

Использование Web Application Firewall позволяет блокировать подобные атаки.