Vulnerabilità del Contact Form 7 in +5 milioni di siti

Spread the love

Nel plugin Contact Form 7 è stata corretta una vulnerabilità grave che consente agli utenti malintenzionati di caricare script dannosi.

È stata individuata una vulnerabilità in Contact Form 7 che consente a un utente malintenzionato di caricare script dannosi. Gli sviluppatori di Contact Form 7 hanno rilasciato un aggiornamento per correggere la vulnerabilità.

Vulnerabilità nel caricamento illimitato dei file

Una vulnerabilità di caricamento illimitato dei file in un plug-in WordPress è quando il plug-in consente a un utente malintenzionato di caricare una shell Web (script dannoso) che può quindi essere utilizzata per prendere il controllo di un sito, manomettere un database e così via.

Una shell web è uno script dannoso che può essere scritto in qualsiasi lingua web che viene caricato su un sito vulnerabile, elaborato automaticamente e utilizzato per ottenere l’accesso, eseguire comandi, manomettere il database, ecc.

Contact Form 7 definisce il loro ultimo aggiornamento come “rilascio urgente di sicurezza e manutenzione“.

Secondo Contact Form 7:

“È stata riscontrata una vulnerabilità di caricamento illimitato dei file in Contact Form 7 5.3.1 e versioni precedenti.

Utilizzando questa vulnerabilità, un form submitter può ignorare la sanificazione dei nomi di file di Contact Form 7 e caricare un file che può essere eseguito come file script sul server host.

Una descrizione più dettagliata della vulnerabilità è stata pubblicata nella pagina del repository dei plug-in WordPress di Contact Form 7.

Questi sono i dettagli aggiuntivi sulla vulnerabilità che è stata condivisa sul repository ufficiale del plug-in WordPress per Contact Form 7:

“Rimuove il controllo, il separatore e altri tipi di caratteri speciali dal nome file per risolvere il problema di vulnerabilità del caricamento illimitato dei file.”

Sanificazione dei nomi di file

La sanificazione dei nomi di file è un riferimento a una funzione correlata agli script che elaborano i caricamenti. Le funzioni di sanificazione dei nomi di file sono progettate per controllare quali tipi di file (nomi di file) vengono caricati limitando determinati tipi di file. La sanificazione dei nomi di file può anche controllare i percorsi dei file.

Una funzione di sanificazione dei nomi di file funziona bloccando determinati nomi di file e/o consentendo solo un elenco limitato di nomi di file.

Nel caso dei Contact Form 7, c’è stato un problema nella sanificazione del nome del file che ha creato la situazione in cui alcuni tipi di file pericolosi erano involontariamente consentiti.

Vulnerabilità corretta in Contact Form 7 versione 7.5.3.2

La vulnerabilità è stata originariamente scoperta dai ricercatori della società di sicurezza Web Astra.

L’exploit di vulnerabilità alla sanificazione dei nomi di file è corretto in Contact Form 7 versione 7 5.3.2.

Leggi l’annuncio su Contact Form 7


https://contactform7.com/2020/12/17/contact-form-7-532/

Facebook Comments

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *