Un plugin WordPress avec plus de cinq millions d’installations actives a publié une mise à jour urgente dans le but de corriger une vulnérabilité critique de téléchargement de fichiers

Le plugin, Contact Form 7, permet aux utilisateurs d’ajouter plusieurs formulaires de contact sur leur site, mais il a récemment été découvert comme contenant une vulnérabilité sérieuse par les chercheurs en sécurité d’Astra

La vulnérabilité est suivie en tant que CVE-2020-35489 et un correctif a été inclus dans le formulaire de contact 7 532 mise à jour Le projet Contact Form 7 a classé la mise à jour comme «une version de sécurité et de maintenance urgente» et a conseillé aux utilisateurs de l’installer immédiatement

«Notre équipe de recherche dirigée par Jinson Varghese a récemment découvert une vulnérabilité très grave de téléchargement de fichiers sans restriction dans le plugin WordPress Formulaire de contact 7 531 et versions antérieures », explique le blog Astra

«En exploitant cette vulnérabilité, les attaquants pourraient simplement télécharger des fichiers de n’importe quel type, en contournant toutes les restrictions imposées concernant les types de fichiers téléchargeables autorisés sur un site Web De plus, il permet à un attaquant d’injecter du contenu malveillant tel que des shells Web dans les sites qui utilisent la version du plugin Contact Form 7 inférieure à 531 et activer le téléchargement de fichiers sur les formulaires”

La vulnérabilité concerne une partie particulière du code du plugin Contact Form 7 qui ne supprime pas les caractères spéciaux des noms de fichiers téléchargés En tant que tels, les attaquants peuvent télécharger des noms de fichiers avec des extensions doubles séparées par un caractère spécial Cela pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire sur le serveur de la victime

La version corrigée de Contact Form 7 inclut une contrainte de validation d’expression régulière qui signifie que les caractères spéciaux ne peuvent pas être exploités de la manière susmentionnée

D’autres vulnérabilités à double extension ont été observées ailleurs cette année, dont une affectant la plate-forme Drupal CMS – un rival WordPress utilisé par plus d’un million de sites Web

Inscrivez-vous pour recevoir les dernières nouvelles, des critiques, des opinions, des analyses et plus encore, ainsi que les meilleures offres technologiques!

TechRadar fait partie de Future US Inc, un groupe de médias international et un éditeur numérique de premier plan Visitez notre site corporatif

Vulnérabilité, Plug-in, WordPress

News – FR – Ce plugin WordPress populaire a une faille de sécurité sérieuse
Titre associé :
Ce plugin WordPress populaire a une grave vulnérabilité de sécurité
Astra Security découvre une vulnérabilité dans Contact 7, un plugin WordPress

Source: https://www.techradar.com/news/this-popular-wordpress-plugin-has-a-serious-security-vulnerability

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/