Было выдано предупреждение об уязвимости в стороннем плагине для WordPress под названием Contact Form 7 Add-On. Этот недостаток позволяет несанкционированным пользователям удаленно выполнять свой собственный код, что потенциально может привести к вреду. Эта уязвимость считается серьезной, получив оценку 8.8/10 по Общесистемной шкале оценки уязвимостей (CVSS).
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)
Перенаправление для плагина Contact Form 7
Проблема затрагивает расширение Redirection для Contact Form 7, плагина WordPress, используемого примерно на 300 000 сайтах. Этот дополнительный инструмент расширяет возможности широко используемого плагина Contact Form 7. Он позволяет веб-администраторам не только перенаправлять пользователей на другие страницы, но и сохранять данные в базе данных, отправлять уведомления по электронной почте и фильтровать спам-записи из форм.
Проблема возникает из-за неисправной функции в плагине для WordPress. Эти функции – небольшие фрагменты PHP-кода, предназначенные для предоставления уникальных возможностей. Проблемная функция, идентифицированная как delete_associated_files, содержит ошибку: ей не хватает надлежащей проверки входного пути к файлу. Это упущение означает, что пользователи потенциально могут ввести любой желаемый путь к файлу при использовании этой функции для удаления файлов. Следовательно, злоумышленник может использовать это и указать файл для удаления.
Проще говоря, хакер может ввести определенный путь (например, ../../wp-config.php) для удаления важного файла, такого как wp-config.php, что облегчает им запуск атаки с удаленным выполнением кода (RCE). Атака RCE – это опасная тактика, которая позволяет хакеру запускать вредоносный код из любой точки в интернете и получать контроль над веб-сайтом.
Без надлежащих проверок аутентификации, неавторизованные злоумышленники могут удалять любые файлы на сервере по своему выбору. Удаление определенных критических файлов, таких как ‘wp-config.php’, может привести к удаленному выполнению кода, что позволяет злоумышленнику запускать свой собственный код на сервере.
Пострадавшие плагины, независимо от их версии (вплоть до 3.2.4 включительно), должны быть обновлены до последней версии как можно скорее по соображениям безопасности.
Смотрите также
- Google тихо заканчивает поддержку структурированных данных эпохи COVID
- Золото прогноз
- Семья Трампа приобрела огромное количество оборудования для майнинга Биткойна?! Безумие с ASIC!
- Акции YDEX. Яндекс: прогноз акций.
- Microsoft: SEO-специалистам необходимо изучать переходы в конверсии из поисковых систем с искусственным интеллектом.
- BitMine покупает ETH на 600 миллионов долларов, пока цены падают – они гении или просто очень богаты? 🤔
- 8% сотрудников-автоматиков решают уйти в отставку
- Серебро прогноз
- Крипто безумие: циклы Биткоина мертвы, XRP вырывается вперед, кит Ethereum сбрасывает миллионы 🚀🔥
- Прогноз нефти
2025-08-19 22:40