یک آسیب پذیری در Contact Form 7 کشف شده است که به مهاجم اجازه می دهد اسکریپت های مخرب را بارگذاری کند. ناشران تماس با فرم 7 به روزرسانی برای رفع آسیب پذیری منتشر کرده اند.
آسیب پذیری بارگذاری پرونده بدون محدودیت
آسیب پذیری آپلود فایل بدون محدودیت در یک افزونه وردپرس زمانی است که این افزونه به مهاجم اجازه می دهد پوسته وب (اسکریپت مخرب) را بارگذاری کند که پس از آن می تواند برای به دست گرفتن یک سایت ، دستکاری پایگاه داده و غیره استفاده شود.
وب پوسته یک اسکریپت مخرب است که می تواند به هر زبان وب که در سایت آسیب پذیر بارگذاری می شود ، به طور خودکار پردازش شده و برای دستیابی ، اجرای دستورات ، دستکاری در پایگاه داده و غیره نوشته شود.
فرم تماس 7 آخرین بروزرسانی خود را “”آزادی فوری و نگهداری.“
طبق فرم تماس 7:
“یک آسیب پذیری آپلود فایل بدون محدودیت در فرم تماس 7 5.3.1 و نسخه های قدیمی تر پیدا شده است.
با استفاده از این آسیب پذیری ، یک ارسال کننده فرم می تواند پاکسازی نام پرونده تماس با فرم 7 را دور زده و فایلی را بارگذاری کند که می تواند به عنوان یک پرونده اسکریپت در سرور میزبان اجرا شود. “
شرح دقیق تر این آسیب پذیری در صفحه مخزن افزونه وردپرس فرم تماس 7 منتشر شد.
این جزئیات اضافی درباره آسیب پذیری است که در مخزن رسمی افزونه وردپرس برای فرم تماس 7 به اشتراک گذاشته شده است:
“کنترل ، جدا کننده و انواع دیگر نویسه های خاص را از نام پرونده حذف می کند تا مشکل آسیب پذیری بارگذاری پرونده بدون محدودیت را برطرف کند.”
عکس صفحه از توضیحات بروزرسانی تغییر پلاگین وردپرس
تصویر بالا مربوط به توضیحات افزونه فرم اطلاعات 7 “اطلاعات بیشتر” است که هنگام به روزرسانی افزونه از نصب وردپرس نشان داده می شود. این متن با آنچه در مخزن رسمی وردپرس برای این افزونه منتشر شده مطابقت دارد.
تبلیغات
ادامه مطلب را در زیر بخوانید
پاکسازی نام پرونده
پاکسازی نام پرونده اشاره به عملکردی است که مربوط به اسکریپت هایی است که بارگذاری ها را پردازش می کنند. توابع پاک سازی نام پرونده برای کنترل نوع آپلود شدن پرونده ها (نام پرونده ها) با محدود کردن انواع خاصی از پرونده ها ، طراحی شده اند. پاک سازی نام پرونده همچنین می تواند مسیرهای پرونده را کنترل کند.
عملکرد پاک سازی نام پرونده با مسدود کردن نام پرونده های خاص و / یا اجازه دادن فقط به یک لیست محدود از نام پرونده ها ، کار می کند.
در مورد فرم تماس با شماره 7 ، مشكلی در پاك كردن نام پرونده وجود داشت كه باعث ایجاد شرایطی شد كه انواع خاصی از پرونده های خطرناك ناخواسته مجاز بودند.
آسیب پذیری رفع شده در فرم تماس 7 نسخه 7.5.3.2
سو file استفاده از آسیب پذیری ایمنی نام پرونده در فرم تماس 7 نسخه 7 5.3.2 برطرف شده است.
تمام نسخه های فرم تماس 7 از 7 5.3.1 به پایین آسیب پذیر به حساب می آیند و باید سریعاً به روز شوند.
تبلیغات
ادامه مطلب را در زیر بخوانید
استناد
اطلاعیه را در فرم تماس با شماره 7 بخوانید
فرم تماس 7 5.3.2
فرم تغییر 7 فرم تغییر را بخوانید