Una grave vulnerabilità è stata corretta in Contact Form 7 che consente agli aggressori di caricare script dannosi.

È stata scoperta una vulnerabilità in Contact Form 7 che consente a un utente malintenzionato di caricare script dannosi. Gli editori di Contact Form 7 hanno rilasciato un aggiornamento per correggere la vulnerabilità.

Vulnerabilità di caricamento file senza restrizioni

Una vulnerabilità di caricamento di file illimitata in un plug-in di WordPress si verifica quando il plug-in consente a un utente malintenzionato di caricare una shell Web (script dannoso) che può quindi essere utilizzata per assumere il controllo di un sito, manomettere un database e così via. Una shell web è uno script dannoso che può essere scritto in qualsiasi linguaggio web caricato su un sito vulnerabile, elaborato automaticamente e utilizzato per ottenere l’accesso, eseguire comandi, manomettere il database, ecc. Contact Form 7 definisce il loro ultimo aggiornamento un “rilascio urgente di sicurezza e manutenzione”.

“È stata rilevata una vulnerabilità di caricamento di file illimitato in Contact Form 7 5.3.1 e versioni precedenti. Utilizzando questa vulnerabilità, un mittente del modulo può ignorare la sanificazione del nome file di Contact Form 7 e caricare un file che può essere eseguito come file di script sul server host.” – [Team Contact Form 7]

La vulnerabilità verrà risolta effettuando l’upgrade del plugin alla versione 5.3.2

Se ritieni che il tuo sito possa essere esposto a questo problema o anche al più recente relativo al plugin “WP Bakery”, di cui trovi il dettaglio qui, contatta la nostra azienda.