Для плагина WordPress был выдан консультативный консультации по уязвимости, который сохраняет представления контактной формы. Недостаток позволяет несанкционированным злоумышленникам удалять файлы, запустить отказ в атаке обслуживания или выполнять удаленное выполнение кода. Уязвимость получила рейтинг серьезности 9,8 по шкале от 1 до 10, что указывает на серьезность проблемы.
База данных для контактной формы 7, WPForms, плагин Ementor Forms
База данных для контактной формы 7, WPForms, Forms Elementor, также, по -видимому, известной как плагин записей контактной формы, сохраняет записи контактной формы в базу данных WordPress. Это позволяет пользователям просматривать представления контактной формы, искать их, отмечать их как чтение или непрочитание, экспортировать их и выполнять другие функции. Плагин имеет более 70 000 установок.
Плагин уязвим для инъекции объекта PHP неавтотимированным злоумышленником, что означает, что злоумышленнику не нужно войти на веб -сайт, чтобы запустить атаку.
Объект PHP — это структура данных в PHP. Объекты PHP могут быть превращены в последовательность символов (сериализованные), чтобы хранить их, а затем опустошенную (превращенную обратно в объект). Недостаток, который приводит к этой уязвимости, заключается в том, что плагин позволяет несанкционированному злоумышленнику вводить ненадежный объект PHP.
Если на сайте WordPress также установлен плагин Contact Form 7, он может запустить поп -цепь во время десериализации.
Согласно Wordfence Advisory:
«Это позволяет несаутентированным злоумышленникам вводить объект PHP. Дополнительное присутствие цепочки POP в плагине контактной формы 7, которое, вероятно, будет использоваться рядом, позволяет злоумышленникам удалять произвольные файлы, что приводит к отказу в обслуживании или удаленном выполнении кода, когда файл wp-config.php удаляется».
Все версии плагина до 1.4.3 уязвимы. Пользователям рекомендуется обновить свой плагин до последней версии, которая на эту дату является версией 1.4.5.
Изображение от Shutterstock/Tavizta
