Уязвимость в безопасности широко используемого плагина WordPress Contact Form 7, обнаруженная более чем на 300 000 веб-сайтах, позволяет хакерам загружать вредоносные файлы и красть данные с сервера.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Перенаправление для Contact Form 7
Плагин Redirection for Contact Form 7, созданный Themeisle, работает с популярным плагином Contact Form 7, позволяя перенаправлять посетителей на другую страницу после отправки формы. Он также может сохранять данные формы и предлагать другие полезные функции.
Уязвим для неаутентифицированных злоумышленников
Эта уязвимость вызывает особую тревогу, поскольку не требует входа в систему или учётной записи пользователя. Злоумышленник может использовать эту уязвимость без каких-либо учётных данных, что значительно упрощает проведение атаки.
Согласно Wordfence:
Плагин Redirection для Contact Form 7 для WordPress имеет уязвимость в системе безопасности, позволяющую злоумышленникам загружать опасные файлы. Это происходит из-за того, что плагин не проверяет тип загружаемых файлов должным образом, особенно в функции ‘move_file_to_upload’. Затронуты все версии плагина до 3.2.7. Злоумышленнику даже не нужна учетная запись пользователя, чтобы воспользоваться этой уязвимостью и потенциально скопировать любой файл с сервера веб-сайта. Если настройка сервера ‘allow_url_fopen’ включена, злоумышленники могут даже загружать файлы с других веб-сайтов.
Как цифровой маркетолог, понимание конфигурации серверов на удивление важно для безопасности. Одной из сложных частей этой уязвимости является то, как PHP обрабатывает файлы через настройку под названием ‘allow_url_fopen’. Хотя PHP обычно имеет эту настройку включенной по умолчанию, большинство компаний, предоставляющих общий хостинг, фактически отключают её. Они делают это как стандартную меру безопасности, чтобы помочь предотвратить потенциальные эксплойты, что делает эту конкретную атаку немного сложнее в реализации.
Хотя эта уязвимость в системе безопасности легко эксплуатировать, поскольку она не требует входа в систему, она менее вероятно будет использоваться в атаках, поскольку зависит от включения конкретной настройки PHP.
Пользователям плагина рекомендуется обновить его до версии 3.2.8 или новее.
Смотрите также
- Анализ динамики цен на криптовалюту PI: прогнозы PI
- Анализ динамики цен на криптовалюту ETH: прогнозы эфириума
- Как настроить свою первую платную поисковую кампанию
- Выпуск основного обновления Google в августе 2024 года — будут ли небольшие сайты снова в рейтинге?
- Экспертное SEO-руководство по обработке параметров URL-адресов
- Как настроить свою первую платную поисковую кампанию
- Режим обучения OpenAI привносит управляемое обучение в ChatGPT
- Google тестирует очень длинные расширяемые фрагменты результатов поиска, сгенерированные ИИ.
- Google назвал точную причину, почему негативное SEO не работает
- Акции X5. Корпоративный Центр Икс 5: прогноз акций.
2025-12-22 13:39