Критична помилка у функції завантаження файлів в плагіні Contact Form 7 дозволяє будь-якому відвідувачу завантажити на ваш сайт будь-які файли, і таким чином отримати над сайтом повний контроль.
Патч для популярного плагіна WordPress під назвою Contact Form 7 вийшов вчора 17.12.2020р. Він виправляє критичну помилку, описану вище. Патч випущено у вигляді оновленої версії плагін 5.3.2.
Даний плагін встановлено на 5 мільйонах сайтів, більшість з яких ( 70 відсотків ) працюють з версією 5.3.1.
Дана проблема є критичною вразливістю ( CVE-2020-35489 ).
Виправлення
Розробник плагіна ( Takayuki Miyoshi ) швидко виправив вразливість, усвідомлюючи її критичну природу. Вразливість дозволяє неавторизованому користувачеві обійти будь-які обмеження щодо типу файлу, який можна прикріпити до форми, тобто можна завантажити зловмисний файл на сайт, що працює з версією плагіна 5.3.1 або старішою.
Далі, хакер може вчинити низку дій, наприклад, зіпсувати веб-сайт або перенаправити ваших відвідувачів на сторонній веб-сайт.
На додаток до захоплення самого сайту, зловмисник може також отримати доступ до керування усім сервером, що розміщує сайт, якщо немає контейнеризації, яка використовується для відокремлення веб-сайтів різних клієнтів на сервері. Наші послуги хостингу для WordPress ізолюють усіх клієнтів один від одного, тож сервери захищені, як і клієнти захищені від інших клієнтів.
Ще цікаве:

Адмінка сайту – що це, як туди зайти (Для чайників)
Панель адміністратора або Адмінка – це одна з найважливіших частин будь-якої системи управління контентом ( CMS ). Саме в цій панелі ви контролюєте кожен аспект налаштувань […]
Детальніше
Як швидко створити сайт на шаблоні Neve
Коли Ви вперше починаєте роботу з WordPress, при цьому в команді немає людини, що вже “собаку з’їла” на цьому – […]
Детальніше