Un plugin WordPress avec plus de cinq millions d’installations actives a publié une mise à jour urgente dans le but de corriger une vulnérabilité critique de téléchargement de fichiers

Le plugin, Contact Form 7, permet aux utilisateurs d’ajouter plusieurs formulaires de contact sur leur site, mais il a récemment été découvert comme contenant une vulnérabilité sérieuse par les chercheurs en sécurité d’Astra

La vulnérabilité est suivie en tant que CVE-2020-35489 et un correctif a été inclus dans le formulaire de contact 7 532 mise à jour Le projet Contact Form 7 a classé la mise à jour comme «une version de sécurité et de maintenance urgente» et a conseillé aux utilisateurs de l’installer immédiatement

«Notre équipe de recherche dirigée par Jinson Varghese a récemment découvert une vulnérabilité très grave de téléchargement de fichiers sans restriction dans le plugin WordPress Formulaire de contact 7 531 et versions antérieures », explique le blog Astra

«En exploitant cette vulnérabilité, les attaquants pourraient simplement télécharger des fichiers de n’importe quel type, en contournant toutes les restrictions imposées concernant les types de fichiers téléchargeables autorisés sur un site Web De plus, il permet à un attaquant d’injecter du contenu malveillant tel que des shells Web dans les sites qui utilisent la version du plugin Contact Form 7 inférieure à 531 et activer le téléchargement de fichiers sur les formulaires

La vulnérabilité concerne une partie particulière du code du plugin Contact Form 7 qui ne supprime pas les caractères spéciaux des noms de fichiers téléchargés En tant que tels, les attaquants peuvent télécharger des noms de fichiers avec des extensions doubles séparées par un caractère spécial Cela pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire sur le serveur de la victime

La version corrigée de Contact Form 7 inclut une contrainte de validation d’expression régulière qui signifie que les caractères spéciaux ne peuvent pas être exploités de la manière susmentionnée

D’autres vulnérabilités à double extension ont été observées ailleurs cette année, dont une affectant la plate-forme Drupal CMSun rival WordPress utilisé par plus d’un million de sites Web

Register to receive the latest news, critics, opinions, analyzes and more, as well as the best technological offers!

TechRadar is part of Future US Inc, a leading international media group and digital publisher Visit our corporate site

Vulnerability, Plug-in, WordPress

News – FR – Ce plugin WordPress populaire a une faille de sécurité sérieuse
Associated title :
This popular WordPress plugin has a severe security vulnerability
Astra Security découvre une vulnérabilité dans Contact 7, un plugin WordPress

Source: https://www.techradar.com/news/this-popular-wordpress-plugin-has-a-serious-security-vulnerability

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/