联系表格7漏洞+50万站点

已在联系表单7中发现漏洞,允许攻击者上传恶意脚本。联系人7的发布者已发布更新以修复漏洞。

无限制文件上传漏洞

WordPress插件中的不受限制的文件上传漏洞是当插件允许攻击者上传时Web shell(恶意脚本)然后可以用于接管站点,使用数据库删除删除。

web shell是一个可恶意脚本,可以用上载到的任何Web语言编写一个易受攻击的站点,自动处理并用于获得访问,执行命令,与数据库的篡改等。

联系表格7拨打他们最新更新“

紧急安全和维护版本。

” [12 根据接触形式7

“”在接触表格7 5.3.1和较大的情况下发现了不受限制的文件上传漏洞版本。利用此漏洞,表单提交者可以绕过联系表单7的文件名消毒,并上传可以在主机服务器上作为脚本文件执行的文件。“

漏洞的更详细描述已发布于“触点”7的WordPress插件存储库页面上。

这些是有关在官方WordPress插件存储库中共享的漏洞的其他详细信息,用于联系表格7:

“从文件名中删除控制,分隔符和其他类型的特殊字符以修复不受限制的文件上传漏洞问题。”

Screenshot of Contact Form 7 Changelog

WordPress插件的屏幕快照更新日志更新描述 Screenshot of Contact Form 7 Changelog

上面的屏幕截图是联系表7插件的“详细信息”,也就是示出描述从WordPress安装更新插件时。措辞匹配插件上的官方WordPress存储库上发布的内容。

文件名Sunitization

文件名Sunitization是对处理上传的脚本相关的函数的引用。 FileName Sunitization函数旨在通过限制某些文件来控制上载了哪些文件(文件名)。文件名Sunitization也可以控制文件路径。

文件名消毒功能通过阻止某些文件名和/或仅允许r遭受审查的文件名列表。

在联系表单7的情况下,文件名消毒中存在一个问题,该问题创造了某些危险文件无意中允许的情况。

漏洞固定在联系表单7版本7.5.3.2

漏洞最初由Web安全公司Astra的研究人员发现。

文件名Sunitization漏洞利用攻击性已修复,以联系表格7 5.3.2。

广告联系读数下面的

所有版本的联系表格7 5.3.1和下方的联系表格7被认为是易受攻击的,并且应该立即更新。

引文
阅读公告读取在安全公司Astra