已在联系表单7中发现漏洞,允许攻击者上传恶意脚本。联系人7的发布者已发布更新以修复漏洞。
无限制文件上传漏洞
WordPress插件中的不受限制的文件上传漏洞是当插件允许攻击者上传时Web shell(恶意脚本)然后可以用于接管站点,使用数据库删除删除。
web shell是一个可恶意脚本,可以用上载到的任何Web语言编写一个易受攻击的站点,自动处理并用于获得访问,执行命令,与数据库的篡改等。
联系表格7拨打他们最新更新“
紧急安全和维护版本。
” [12 根据接触形式7
“”在接触表格7 5.3.1和较大的情况下发现了不受限制的文件上传漏洞版本。利用此漏洞,表单提交者可以绕过联系表单7的文件名消毒,并上传可以在主机服务器上作为脚本文件执行的文件。“
漏洞的更详细描述已发布于“触点”7的WordPress插件存储库页面上。
这些是有关在官方WordPress插件存储库中共享的漏洞的其他详细信息,用于联系表格7:
“从文件名中删除控制,分隔符和其他类型的特殊字符以修复不受限制的文件上传漏洞问题。”
WordPress插件的屏幕快照更新日志更新描述
上面的屏幕截图是联系表7插件的“详细信息”,也就是示出描述从WordPress安装更新插件时。措辞匹配插件上的官方WordPress存储库上发布的内容。
文件名Sunitization
文件名Sunitization是对处理上传的脚本相关的函数的引用。 FileName Sunitization函数旨在通过限制某些文件来控制上载了哪些文件(文件名)。文件名Sunitization也可以控制文件路径。
文件名消毒功能通过阻止某些文件名和/或仅允许r遭受审查的文件名列表。
在联系表单7的情况下,文件名消毒中存在一个问题,该问题创造了某些危险文件无意中允许的情况。
漏洞固定在联系表单7版本7.5.3.2
漏洞最初由Web安全公司Astra的研究人员发现。
文件名Sunitization漏洞利用攻击性已修复,以联系表格7 5.3.2。
广告联系读数下面的