Для плагина WordPress был выдан консультативный консультации по уязвимости, который сохраняет представления контактной формы. Недостаток позволяет несанкционированным злоумышленникам удалять файлы, запустить отказ в атаке обслуживания или выполнять удаленное выполнение кода. Уязвимость получила рейтинг серьезности 9,8 по шкале от 1 до 10, что указывает на серьезность проблемы.

База данных для контактной формы 7, WPForms, плагин Ementor Forms

База данных для контактной формы 7, WPForms, Forms Elementor, также, по -видимому, известной как плагин записей контактной формы, сохраняет записи контактной формы в базу данных WordPress. Это позволяет пользователям просматривать представления контактной формы, искать их, отмечать их как чтение или непрочитание, экспортировать их и выполнять другие функции. Плагин имеет более 70 000 установок.

Плагин уязвим для инъекции объекта PHP неавтотимированным злоумышленником, что означает, что злоумышленнику не нужно войти на веб -сайт, чтобы запустить атаку.

Объект PHP — это структура данных в PHP. Объекты PHP могут быть превращены в последовательность символов (сериализованные), чтобы хранить их, а затем опустошенную (превращенную обратно в объект). Недостаток, который приводит к этой уязвимости, заключается в том, что плагин позволяет несанкционированному злоумышленнику вводить ненадежный объект PHP.

Если на сайте WordPress также установлен плагин Contact Form 7, он может запустить поп -цепь во время десериализации.

Согласно Wordfence Advisory:

«Это позволяет несаутентированным злоумышленникам вводить объект PHP. Дополнительное присутствие цепочки POP в плагине контактной формы 7, которое, вероятно, будет использоваться рядом, позволяет злоумышленникам удалять произвольные файлы, что приводит к отказу в обслуживании или удаленном выполнении кода, когда файл wp-config.php удаляется».

Все версии плагина до 1.4.3 уязвимы. Пользователям рекомендуется обновить свой плагин до последней версии, которая на эту дату является версией 1.4.5.

Изображение от Shutterstock/Tavizta