Categories
Noticias

Contacto Formulario 7 Vulnerabilidad en +5 millones de sitios

Se ha descubierto una vulnerabilidad en el formulario de contacto 7 que le permite a un atacante subir scripts maliciosos. Los editores del formulario de contacto 7 han lanzado una actualización para solucionar la vulnerabilidad.

Vulnerabilidad de carga de archivos sin restricciones

Una vulnerabilidad de carga de archivos sin restricciones en un complemento de WordPress es cuando el complemento permite que un atacante cargue un Shell (script malicioso) que se puede usar para hacerse cargo de un sitio, manipulador con una base de datos y así sucesivamente.

Un shell web es un script malicioso que se puede escribir en cualquier idioma web que se carga a Un sitio vulnerable, se procesa automáticamente y se utiliza para obtener acceso, ejecutar comandos, manipular la base de datos, etc.

Formulario de contacto 7 llama a su última actualización una versión de seguridad y mantenimiento urgentes.

de acuerdo con el Formulario de contacto 7 :

“Se ha encontrado una vulnerabilidad de carga de archivos sin restricciones en el formulario de contacto 7 5.3.1 y más antiguo versiones.

Utilizando esta vulnerabilidad, un envío de formulario puede afectar el nombre de nombre del nombre del formulario 7, y cargar un archivo que se puede ejecutar como un archivo de script en el servidor host. “

Screenshot of Contact Form 7 Changelog

Screenshot of Contact Form 7 Changelog



Una descripción más detallada de la vulnerabilidad se publicó en la página del repositorio de complementos de WordPress de Formulario de contacto. Estos son los detalles adicionales sobre la vulnerabilidad que se compartió en el repositorio oficial del complemento de WordPress para el Formulario de contacto 7: “Elimina el control, el separador y otros tipos de caracteres especiales del nombre de archivo para solucionar el problema de la vulnerabilidad de la carga de archivos sin restricciones”. Captura de pantalla de WordPress Plugin Changelog Actualizar Descripción La captura de pantalla anterior es del formulario de contacto 7 Plugin “Más información” que se muestra Al actualizar el complemento de una instalación de WordPress. La redacción coincide con lo que se publica en el repositorio oficial de WordPress para el complemento. AnunciCentementContinue Lectura a continuación Desinfección de nombres de archivo El nombre de nombre de nombre es una referencia a una función relacionada con scripts que procesan cargas. Las funciones de desinfección de nombre de archivo están diseñadas para controlar qué tipo de archivos (nombres de archivos) se cargan restringiendo ciertos tipos de archivos. El desinfección de nombre de archivo también puede controlar las rutas de archivo. Una función de desinfección de nombre de archivo funciona bloqueando ciertos nombres de archivos y / o permitiendo solo un RLista estricted de nombres de archivos. En el formulario de contacto 7, hubo un problema en la desinfección del nombre que creó la situación en la que se permitió ciertos tipos de archivos peligrosos. Vulnerabilidad fija En el formulario de contacto 7 Versión 7.5.3.2 La vulnerabilidad fue descubierta originalmente por investigadores en la compañía de seguridad web ASTRA. El Exploit de vulnerabilidad de desinfección de archivo se fija en Formulario de contacto 7 Versión 7 5.3.2. AnunciCementContinue Lectura a continuación Todas las versiones de Formulario de contacto 7 de 7 5.3.1 y bajo se consideran vulnerables y deben actualizarse de inmediato. Citas Leer el anuncio en Formulario de contacto 7 https://contactform7/2020/2020/2020/12/17/contact-form-7-532/ LeeAnuncio en Security Company Astra Vulnerabilidad de carga de archivos sin restricciones que se encuentra en el Formulario de contacto 7 Lea el Formulario de contacto de Formulario de contacto

Leave a Reply

Your email address will not be published. Required fields are marked *