Formulário de contato 7 Versão 5.3.2 Patches Vulnerabilidade crítica, atualização imediata recomendada – Taberna WordPress

O Contact Form 7 corrigiu uma vulnerabilidade crítica de upload de arquivo na versão 5.3.2, lançada hoje pelo autor do plugin Takayuki Miyoshi. O plugin está instalado em mais de cinco milhões de sites WordPress.

“Uma vulnerabilidade de upload irrestrito de arquivo foi encontrada no Contact Form 7 5.3.1 e versões anteriores”, disse Miyoshi. “Utilizando esta vulnerabilidade, um remetente de formulário pode ignorar a limpeza de nome de arquivo do Contact Form 7 e fazer upload de um arquivo que pode ser executado como um arquivo de script no servidor host.”

A vulnerabilidade foi descoberta por Jinson Varghese Behanan da Astra Security em 16 de dezembro de 2020, e Miyoshi lançou uma correção menos de 24 horas depois. Behanan destacou algumas maneiras pelas quais essa vulnerabilidade pode ser explorada:

  1. Possível fazer upload de um shell da web e injetar scripts maliciosos
  2. Aquisição completa do site e do servidor se não houver conteinerização entre sites no mesmo servidor
  3. Desfigurando o site

A Astra Security planeja publicar mais detalhes sobre a vulnerabilidade em duas semanas após a base de usuários do plugin ter tido mais tempo para atualizar para a versão corrigida.

A versão 5.3.2 remove controle, separador e outros tipos de caracteres especiais do nome do arquivo para corrigir a vulnerabilidade de upload irrestrito de arquivo. No momento da publicação, mais de um milhão de atualizações do Contact Form 7 foram baixadas hoje. Aproximadamente 20% da base de usuários do plugin está protegida contra a vulnerabilidade. Agora que foi corrigido e publicado, os usuários do Formulário de Contato 7 que não atualizarem correrão mais risco de ter a vulnerabilidade explorada.



Source

Deixe uma resposta

%d blogueiros gostam disto: