Специалисты по кибербезопасности из Astra Security опубликовали свежий доклад. В нём они рассказали об уязвимости, найденной в популярном WordPress-плагине под названием Contact Form 7.
Команда исследователей под руководством Джинсона Варгезе обнаружила возможность неограниченной загрузки файлов в версии плагина 5.3.1 и старше. Используя данную брешь, хакеры могли загружать на сервер абсолютно любые файлы, несмотря на установленные пользователем ограничения. Также найденная уязвимость позволяла посторонним внедрять вредоносный код, в том числе и в виде веб-шеллов.
Astra Security Research уже направила письмо разработчику плагина, в результате чего он успел выпустить патч, закрывающий дыру в безопасности. В свою очередь пользователям специалисты из Astra посоветовали обновиться до Contact Form 7 5.3.2.
Напомним, что Contact Form — один из самых популярных плагинов для создания контактных форм на сайте. С его помощью можно создавать формы любых видов. Также в числе преимуществ плагина часто называют гибкость и удобство его настройки вместе с огромным коммьюнити, способным помочь в решении тех или иных проблем.
Источник: Astra Security
Источник: