Contact Form 7 是一個(gè)安裝量超過500萬的聯(lián)系表單插件,很多國(guó)外主題幾乎都采用這個(gè)插件來實(shí)現(xiàn)聯(lián)系表單。Contact Form 7 的5.3.2版修復(fù)了一個(gè)關(guān)鍵文件上傳漏洞,請(qǐng)盡快更新到最新版。
開發(fā)者M(jìn)iyoshi說:“在Contact Form 7 5.3.1和更早的版本中發(fā)現(xiàn)了一個(gè)不受限制的文件上傳漏洞。”?“利用此漏洞,表單提交者可以繞過Contact Form 7的文件名清理,并上傳一個(gè)可以在主機(jī)服務(wù)器上作為腳本文件執(zhí)行的文件。”
該漏洞?由Astra Security的?Jinson Varghese Behanan于?2020年12月16日發(fā)現(xiàn),Miyoshi不到24小時(shí)后發(fā)布了修復(fù)程序。Behanan重點(diǎn)介紹了利用此漏洞的幾種方法:
- 可以上傳Web Shell并注入惡意腳本
- 如果同一服務(wù)器上的網(wǎng)站之間沒有容器化,則完全接管網(wǎng)站和服務(wù)器
- 破壞網(wǎng)站
在插件的用戶群有更多時(shí)間更新到補(bǔ)丁版本后的兩周內(nèi),Astra Security計(jì)劃在該漏洞上發(fā)布更多詳細(xì)信息。
版本5.3.2刪除文件名中的控件、分隔符和其他類型的特殊字符,以修復(fù)不受限制的文件上傳漏洞。所以,如果你的網(wǎng)站使用了 Contact Form 7 插件,請(qǐng)盡快更新到最新版,并建議為該插件開啟自動(dòng)更新功能。
聲明:本站所有文章,如無特殊說明或標(biāo)注,均為本站原創(chuàng)發(fā)布。任何個(gè)人或組織,在未征得本站同意時(shí),禁止復(fù)制、盜用、采集、發(fā)布本站內(nèi)容到任何網(wǎng)站、書籍等各類媒體平臺(tái)。如若本站內(nèi)容侵犯了原著者的合法權(quán)益,可聯(lián)系我們進(jìn)行處理。
