Было выдано предупреждение об уязвимости в стороннем плагине для WordPress под названием Contact Form 7 Add-On. Этот недостаток позволяет несанкционированным пользователям удаленно выполнять свой собственный код, что потенциально может привести к вреду. Эта уязвимость считается серьезной, получив оценку 8.8/10 по Общесистемной шкале оценки уязвимостей (CVSS).
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)
Перенаправление для плагина Contact Form 7
Проблема затрагивает расширение Redirection для Contact Form 7, плагина WordPress, используемого примерно на 300 000 сайтах. Этот дополнительный инструмент расширяет возможности широко используемого плагина Contact Form 7. Он позволяет веб-администраторам не только перенаправлять пользователей на другие страницы, но и сохранять данные в базе данных, отправлять уведомления по электронной почте и фильтровать спам-записи из форм.
Проблема возникает из-за неисправной функции в плагине для WordPress. Эти функции – небольшие фрагменты PHP-кода, предназначенные для предоставления уникальных возможностей. Проблемная функция, идентифицированная как delete_associated_files, содержит ошибку: ей не хватает надлежащей проверки входного пути к файлу. Это упущение означает, что пользователи потенциально могут ввести любой желаемый путь к файлу при использовании этой функции для удаления файлов. Следовательно, злоумышленник может использовать это и указать файл для удаления.
Проще говоря, хакер может ввести определенный путь (например, ../../wp-config.php) для удаления важного файла, такого как wp-config.php, что облегчает им запуск атаки с удаленным выполнением кода (RCE). Атака RCE – это опасная тактика, которая позволяет хакеру запускать вредоносный код из любой точки в интернете и получать контроль над веб-сайтом.
Без надлежащих проверок аутентификации, неавторизованные злоумышленники могут удалять любые файлы на сервере по своему выбору. Удаление определенных критических файлов, таких как ‘wp-config.php’, может привести к удаленному выполнению кода, что позволяет злоумышленнику запускать свой собственный код на сервере.
Пострадавшие плагины, независимо от их версии (вплоть до 3.2.4 включительно), должны быть обновлены до последней версии как можно скорее по соображениям безопасности.
Смотрите также
- Акции AFKS. АФК Система: прогноз акций.
- Поиск Google поддерживает свойства неподходящих регионов для видео
- Поиск в Google мнения людей о непрофессиональных медицинских советах
- Использование Google Merchant Center Next для конкурентного анализа
- Спросите SEO-специалиста: сколько времени требуется для ранжирования Schema?
- Советы Google по поисковой оптимизации (SEO) для лучших результатов — Поиск Центрального Живого Нью-Йорка
- Страницы издателей Google Discover с возможностью подписки, социальными обновлениями и последними публикациями
- 10 лучших конструкторов веб-сайтов, которые стоит рассмотреть в 2024 году
- Изменения Google LSA в логике проверки изменений ставок
- Окно поиска Google «Другие люди»
2025-08-19 22:40