Skocz do zawartości

Contact Form 7 - Luka w zabezpieczeniach!

Dawid

Przez Dawid,
w Pluginy Wordpress

Rekomendowane odpowiedzi

Dołącz do nas za darmo i naucz się zarabiać!

  • Dostęp do darmowych poradników pokazujących krok po kroku jak zarabiać w Internecie
  • Sposoby zarabiania niepublikowane nigdzie indziej
  • Aktywna społeczność, która pomoże Ci rozwiązać problemy i doradzi
  • Profesjonalne treści na temat SEO, social media, afiliacji, kryptowalut i wiele więcej!

 

 

Czaq

Czaq

Opublikowano
Opublikowano
Cytat

Sytuacja dotyczy ponad 5 milionów stron na całym świecie.
Wysyłamy wiadomosć do wszystkich użytkowników usług oraz osób osób zapisanych na newslettery. To poważne i masowe zagrożenie, a znaczna część z Was posiada strony na WordPress z tą wtyczką.
Contact Form 7 pozwala na łatwe osadzenie funkcjonalnego formularza na Twojej stronie, opartej o WordPress i jest często wybierana przez osoby tworzące strony w oparciu o ten CMS. Ujawniono w niej lukę umożliwiającą wykonanie złośliwego kodu na Twoim serwerze.

Z samego rana właśnie zasypała mnie lawina maili z firm hostingowych. 

Dość ciekawa sytuacja tym bardziej, że grudniowa aktualizacja WP miała mieć znaczenie w takich sytuacjach(mimo, że dotyczy to danej wtyczki).

track-sygnatura-makecash
Dołącz do społeczności zarabiających użytkowników i zarabiaj z nami.  Sprawdź temat mentoringu i opinie przed dołączeniem.

Odnośnik do komentarza
Harry

Harry

Opublikowano
Opublikowano

Szczerze powiedziawszy, to liczyłem na jakąś większą rozpiskę. Zacząć trzeba od tego, że nie jest to "ważna luka" jak napisał autor artykułu, a wręcz KRYTYCZNA!

Dlaczego?

  1. Ponad 5 milionów instalacji!
    i
  2. Nieograniczone przesyłanie plików
    oraz
  3. Możliwe ataki z podwójnym rozszerzeniem

Czyli przy pomocy pliku mającym podwójne rozszerzenie, np. PLIK.PHP    .JPG (przerwa jest zrobiona 'tabulatorem'. Taki przycisk TAB na klawiaturze)

  • Formularz usuwa rozszerzenie .JPG po czym na serwerze znajduje się PLIK.PHP ze złośliwym kodem. Wgrywający może nawet uzyskać dostęp do serwera.

Problem dotyczy wersji 5.3.1 więc wystarczy zaktualizować do najnowszej 5.3.2.

2 minuty temu, Czaq napisał:

grudniowa aktualizacja WP miała mieć znaczenie w takich sytuacjach(mimo, że dotyczy to danej wtyczki).

Zgadza się lecz weź pod uwagę, że to wina wtyczki, a nie wordpressa. Wordpress nie zabezpiecza pluginów. Niestety ale wtyczka = wytrych.

Jakby ktoś chce zabezpieczyć wordpressa, forum, stronę prewencyjnie, to może się ze mną skontaktować na prywatnej wiadomości.

 

Jeżeli ktoś z was szuka bardzo dobrego hostingu, który dba o bezpieczeństwo stron swoich klientów to zapraszam do mojego tematu o ATTHOST;)

Pozdrawiam

 

  • Super 1
Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ

ATTHOST.pl - Prawdopodobnie najszybszy i najlepszy hosting dla WordPress

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Ta strona korzysta z ciasteczek, aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie z witryny oznacza zgodę na ich wykorzystanie. Polityka prywatności .

  I accept