È stata scoperta una vulnerabilità in Contact Form 7 che consente a un utente malintenzionato di caricare script dannosi. Gli editori di Contact Form 7 hanno rilasciato un aggiornamento per correggere la vulnerabilità.
Vulnerabilità di caricamento file senza restrizioni
Una vulnerabilità di caricamento di file illimitata in un plug-in di WordPress si verifica quando il plug-in consente a un utente malintenzionato di caricare una shell Web (script dannoso) che può quindi essere utilizzata per assumere il controllo di un sito, manomettere un database e così via. Una shell web è uno script dannoso che può essere scritto in qualsiasi linguaggio web caricato su un sito vulnerabile, elaborato automaticamente e utilizzato per ottenere l’accesso, eseguire comandi, manomettere il database, ecc. Contact Form 7 definisce il loro ultimo aggiornamento un “rilascio urgente di sicurezza e manutenzione”.
“È stata rilevata una vulnerabilità di caricamento di file illimitato in Contact Form 7 5.3.1 e versioni precedenti. Utilizzando questa vulnerabilità, un mittente del modulo può ignorare la sanificazione del nome file di Contact Form 7 e caricare un file che può essere eseguito come file di script sul server host.” – [Team Contact Form 7]
La vulnerabilità verrà risolta effettuando l’upgrade del plugin alla versione 5.3.
Hi, this is a comment.
To delete a comment, just log in and view the post's comments. There you will have the option to edit or delete them.
How are you?