Критична помилка у функції завантаження файлів в плагіні Contact Form 7 дозволяє будь-якому відвідувачу завантажити на ваш сайт будь-які файли, і таким чином отримати над сайтом повний контроль.
Патч для популярного плагіна WordPress під назвою Contact Form 7 вийшов вчора 17.12.2020р. Він виправляє критичну помилку, описану вище. Патч випущено у вигляді оновленої версії плагін 5.3.2.
Даний плагін встановлено на 5 мільйонах сайтів, більшість з яких ( 70 відсотків ) працюють з версією 5.3.1.
Дана проблема є критичною вразливістю ( CVE-2020-35489 ).
Виправлення
Розробник плагіна ( Takayuki Miyoshi ) швидко виправив вразливість, усвідомлюючи її критичну природу. Вразливість дозволяє неавторизованому користувачеві обійти будь-які обмеження щодо типу файлу, який можна прикріпити до форми, тобто можна завантажити зловмисний файл на сайт, що працює з версією плагіна 5.3.1 або старішою.
Далі, хакер може вчинити низку дій, наприклад, зіпсувати веб-сайт або перенаправити ваших відвідувачів на сторонній веб-сайт.
На додаток до захоплення самого сайту, зловмисник може також отримати доступ до керування усім сервером, що розміщує сайт, якщо немає контейнеризації, яка використовується для відокремлення веб-сайтів різних клієнтів на сервері. Наші послуги хостингу для WordPress ізолюють усіх клієнтів один від одного, тож сервери захищені, як і клієнти захищені від інших клієнтів.
Ще цікаве:

Хостинг + безкоштовний домен .SPACE
Легкий старт для вашого нового сайту – купуйте хостинг з тарифом СТАРТ на 1 рік та отримайте безкоштовний домен .SPACE […]
Детальніше
Знижка на реєстрацію домену .shop
Кращий домен для вашого інтернет-магазину – це .shop І сьогодні ви можете зареєструвати його усього за 100грн з промокодом SHOP100 […]
Детальніше