19.12.2020 | Уязвимость в WordPress-плагине Contact Form 7 подвергает риску атак 5 млн сайтов |
Разработчик популярного плагина WordPress под названием Contact Form 7 выпустил исправление для опасной уязвимости (CVE-2020-35489), эксплуатация которой позволяет неавторизованному злоумышленнику перехватить контроль над web-сайтом или даже сервером. Проблема затрагивает версии плагина Contact Form 7 5.3.1 или старше, который установлен на более чем 5 млн web-сайтов. Проблема представляет собой уязвимость неограниченной загрузки файлов, согласно специалистам из Astra Security Research. Уязвимость позволяет неавторизованному пользователю обойти любые ограничения формы file-type в Contact Form 7 и загрузить исполняемый двоичный файл на сайт, на котором запущена уязвимая версия плагина. Затем злоумышленник может совершить ряд вредоносных действий, например, осуществить дефейс web-сайта или перенаправить пользователей на сторонний ресурс, пытаясь путем обманом получить финансовую или личную информацию. По словам исследователей, помимо перехвата контроля над уязвимым web-сайтом злоумышленник может также перехватить контроль над сервером, на котором размещен ресурс, если не используется контейнеризация. «Уязвимость легко использовать. Злоумышленнику не нужно будет проходить проверку подлинности, а атаку можно осуществить удаленно», — пояснили эксперты. Проблема была исправлена в версии плагина Contact Form 7 5.3.2. |
Проверить безопасность сайта