Contact Form by Supsystic <= 1.7.36 - Unauthenticated Server-Side Template Injection via Prefill Functionality

De Contact Form by Supsystic plugin voor WordPress is kwetsbaar voor Server-Side Template Injection (SSTI) wat leidt tot Remote Code Execution (RCE) in alle versies tot en met 1.7.36. Dit komt doordat de plugin de Twig `Twig_Loader_String` template engine gebruikt zonder sandboxing, gecombineerd met de `cfsPreFill` prefill functionaliteit die niet-geauthenticeerde gebruikers in staat stelt om willekeurige Twig expressions (Twig expressies) te injecteren in formulierveldwaarden via GET parameters. Dit maakt het mogelijk voor niet-geauthenticeerde aanvallers om willekeurige PHP functies en OS commands (besturingssysteem commando's) uit te voeren op de server door gebruik te maken van Twig's `registerUndefinedFilterCallback()` methode om willekeurige PHP callbacks te registreren.