Un plugin WordPress avec plus de cinq millions d’installations actives a publié une mise à jour urgente dans le but de corriger une vulnérabilité critique de téléchargement de fichiers
Le plugin, Contact Form 7, permet aux utilisateurs d’ajouter plusieurs formulaires de contact sur leur site, mais il a récemment été découvert comme contenant une vulnérabilité sérieuse par les chercheurs en sécurité d’Astra
La vulnérabilité est suivie en tant que CVE-2020-35489 et un correctif a été inclus dans le formulaire de contact 7 532 mise à jour Le projet Contact Form 7 a classé la mise à jour comme «une version de sécurité et de maintenance urgente» et a conseillé aux utilisateurs de l’installer immédiatement
«Notre équipe de recherche dirigée par Jinson Varghese a récemment découvert une vulnérabilité très grave de téléchargement de fichiers sans restriction dans le plugin WordPress Formulaire de contact 7 531 et versions antérieures », explique le blog Astra
«En exploitant cette vulnérabilité, les attaquants pourraient simplement télécharger des fichiers de n’importe quel type, en contournant toutes les restrictions imposées concernant les types de fichiers téléchargeables autorisés sur un site Web De plus, il permet à un attaquant d’injecter du contenu malveillant tel que des shells Web dans les sites qui utilisent la version du plugin Contact Form 7 inférieure à 531 et activer le téléchargement de fichiers sur les formulaires”
La vulnérabilité concerne une partie particulière du code du plugin Contact Form 7 qui ne supprime pas les caractères spéciaux des noms de fichiers téléchargés En tant que tels, les attaquants peuvent télécharger des noms de fichiers avec des extensions doubles séparées par un caractère spécial Cela pourrait potentiellement permettre à un attaquant d’exécuter du code arbitraire sur le serveur de la victime
La version corrigée de Contact Form 7 inclut une contrainte de validation d’expression régulière qui signifie que les caractères spéciaux ne peuvent pas être exploités de la manière susmentionnée
D’autres vulnérabilités à double extension ont été observées ailleurs cette année, dont une affectant la plate-forme Drupal CMS – un rival WordPress utilisé par plus d’un million de sites Web
Inscrivez-vous pour recevoir les dernières nouvelles, des critiques, des opinions, des analyses et plus encore, ainsi que les meilleures offres technologiques!
TechRadar fait partie de Future US Inc, un groupe de médias international et un éditeur numérique de premier plan Visitez notre site corporatif
Vulnérabilité, Plug-in, WordPress
News – FR – Ce plugin WordPress populaire a une faille de sécurité sérieuse
Titre associé :
– Ce plugin WordPress populaire a une grave vulnérabilité de sécurité
– Astra Security découvre une vulnérabilité dans Contact 7, un plugin WordPress
Source: https://www.techradar.com/news/this-popular-wordpress-plugin-has-a-serious-security-vulnerability
CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.
Nos services:
- Création des sites web professionnels
- Hébergement web haute performance et illimité
- Vente et installation des caméras de vidéo surveillance
- Vente et installation des système de sécurité et d’alarme
- E-Marketing
Toutes nos réalisations ici https://www.css-engineering.com/en/works/
