Лучший хостинг
Акции
RICHHost Акция действует с 26 января 2021 по 31 января 2021
Администратор Акция действует с 1 января 2021 по 1 января 2022
Domen-Hosting.net Акция действует с 25 января 2021 по 31 января 2021
Акция действует с 25 января 2021 по 31 января 2021
HostCab Акция действует с 19 января 2021 по 30 января 2022
Все акции...

Новости хостинга HostiMan Перейти на сайт


Уязвимость в WordPress


Здравствуйте, уважаемые пользователи.

В WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, устранена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере.

Дополнение Contact Form 7 предназначено для добавления на сайты произвольных форм обратной связи с посетителями. Уязвимость проявляется при включении функции отправки файлов в формах (например, при прикреплении изображения) и позволяет помимо явно разрешённых типов файлов загрузить на сервер файлы с любыми расширениями.

Для обхода проверки на допустимость загружаемого файла достаточно указать символ-разделитель в имени файла, отделив им допустимое расширение. Например, при передаче файла с именем "test.php .png" дополнение посчитает, что передана картинка в формате PNG но на диск будет сохранён файл test.php, который затем может быть вызван через прямое обращение к сайту, если в настройках web-сервера явно не запрещено выполнение скриптов в каталоге с загружаемыми данными.

Если Вы используете такой плагин на Вашем Wordpress сайте, рекомендуем незамедлительно его обновить или удалить вообще. Если Вы стали жертвой взлома через этот плагин, то обратитесь в нашу техническую поддержку для оказания помощи в восстановлении сайта и удалении проблемного плагина.

Напоминаем, что безопасность сайтов Ваших зависит исключительно от Вас. Всегда и своевременно обновляйте CMS и все плагины, которые используете. Именно эти действия защитят Вас от взломов и проблем, которые они сопровождают.
© 2012-2021 Hostgid.net. Все права защищены.