58码农网 > 码农学院 >

Contact Form 7 外挂漏洞:上传档案功能可能被恶意利用,受影响网站高达 500 万个以上

用户投稿 发布于2024-05-26

http://img2.58codes.com/2024/20116357KYTD8nehy4.png

Astra Security 昨天发布这个紧急通知,新的 Contact Form 7 补救更新已经发布,请在安全状况下尽快更新,以免招来不当的损失,下方引述官方的择要。

引用原文来源:
在 Contact Form 7 中发现的不受限制的文件上传漏洞,请立即更新

Contact Form 7 是最流行的 WordPress 外挂 之一,它允许用户在其网站上添加多个联络表单。该外挂目前有超过 500 万个活动安装。因此,此外挂中的任何漏洞都会使数百万个网站受到威胁。

其他 WordPress 联络表单的取替方案:

WPFormsGravity FormsNinja Forms / Ninja Forms 简介教学JetForm BuilderElementor Form BuilderFormidable FormsCalculated Fields FormWP Fluent Form

✦ 文件上传漏洞

我们的研究团队由 Jinson Varghese 领导,最近在 WordPress 外挂 Contact Form 7 5.3.1 和更早版本中发现了一个严重性很高的 Unrestricted File Upload 漏洞。通过利用此漏洞,攻击者可以简单地上载任何类型的文件,而绕过有关网站上允许的可上传文件类型的所有限制。此外,它还允许攻击者将恶意内容 (例如 Web Shell) 注入使用 5.3.1 以下版本的 Contact Form 7 外挂版本的网站中。

Astra Security Research 团队最初于 2020 年 12 月 16 日通过其支持论坛与 Contact Form 7 外挂开发人员联繫。在收到外挂开发人员的确认后,我们于 2020 年 12 月 17 日披露了有关此漏洞的全部详细信息。当天,发布了最终的足够更新。我们强烈建议您立即将外挂更新到最新版本 5.3.2。

两週后,将添加有关此漏洞的更多详细信息,以使用户有足够的时间进行更新并採取必要的措施以确保安全。
注意:如果您使用的是 Astra Security 的防火墙和恶意软件扫描器,则将自动获得开箱即用的保护。为了获得更好,更广泛的覆盖範围,我们建议您通过此方法在 WordPress 上安装 Astra Security
Contact Form 7 (5.3.1 和更早版本) 中的文件上传漏洞的后果
可以上传 Web Shell 并注入恶意脚本
如果同一服务器上的网站之间没有容器化,则完全收购网站和服务器破坏网站。

备注:不少 WordPress 布景主题 和 页面编辑器 都内建了 Contact Form 7 表单外挂作为预设的发信工具,所以也值得留意这次的事态发展。

✦ 披露时间表

2020年12月16日 – 首次发现不受限制的文件上传漏洞2020年12月16日 – Astra 安全研究与外挂开发人员联繫并收到确认书2020年12月17日 – 我们将完整的漏洞披露详细信息发送给联繫 Contact Form 7 团队2020年12月17日 – 修复漏洞后,最初的不足补丁发布了2020年12月17日 – 我们向外挂开发人员提供了有关该漏洞的更多详细信息2020年12月17日 – 外挂版本 5.3.2 发布了最终的足够更新

特别提及 Contact Form 7 外挂开发人员Takayuki Miyoshi,他在考虑到外挂用户的安全性的同时迅速做出响应并解决了该问题。Takayuki 迅速做出反应,採取了行动,并发布了更新,这激发了人们对 Contact Form 7 对安全性的承诺的信心。

建议

随着网络威胁形势向互联网破坏迈出了又一步,威胁参与者正在积极发现新技术,以压倒在线业务。为了防止此类插件漏洞,您需要确保已採取所有安全措施来保护您的站点和在线业务。
如果您使用的是 Contact Form 7 外挂版本 5.3.1 及更低版本,强烈建议将该 WordPress 外挂更新为最新版本,即 5.3.2 (在撰写本文时)。

您可能会有兴趣的 WordPress 相关文章:

免费建立网站教学,看这篇就足够

WordPress 教学:小树苗成长课程

HTML 标题语法 h1 至 h6 的使用原则和 SEO 的影响因素

免费 WordPress 新手必备素材包

什么是 DA (Domain Authority 网域权威值) 和 PA (Page Authority 页面权威值) ?

免费高品质和可商业使用图库推荐

如何选择合适的免费或付费 WordPress 布景主题?

100 个安装 WordPress 后的小技巧

【Google Fonts 应用】如何在 WordPress 网站上使用 Google 中文字体?

WPWebHost 建立部落格完整流程 – 从 Logo 设计到 SEO 最佳化

为什么 WordPress 是免费?

什么是 WordPress 社群生态普查与研习 - 网站迷谷?

http://img2.58codes.com/2024/20116357LGQmfn1DSo.png

一群喜欢网站架设的爱好者
推动 WordPress 社群持续的健康发展
建立关爱和共融的互动社群
适合完全没有任何基础和
不懂程式的入门者和新手
只要您勇敢踏出第一步
要建立自己的部落格或网站
其实没有非常困难

第一次网站製作吗?
欢迎来到我们的社团
学习网页设计

免费 WordPress 线上影片教学课程

WordPress Valley - 网站迷谷【免费教学网站】

WordPress Valley - 网站迷谷【Facebook 讨论社团】

WordPress Valley - 网站迷谷【追蹤 Instagram】


打赏 点赞(111)

关于作者: 网站小编

码农网专注IT技术教程资源分享平台,学习资源下载网站,58码农网包含计算机技术、网站程序源码下载、编程技术论坛、互联网资源下载等产品服务,提供原创、优质、完整内容的专业码农交流分享平台。

相关文章

热门文章

1Contact Form 7 外挂漏洞:上传档案功能可能被恶意利用,受影响网站高达 500 万个

点赞(415) 阅读(79)

2[Cmoney 菁英软体工程师战斗营] IOS APP 菜鸟开发笔记(5)----关于导入Google Maps API

点赞(415) 阅读(97)

3克服 JS 的奇怪部分:call()、bind()、apply()

点赞(415) 阅读(52)

4Dial 1866-549-8444 to Fix Norton Scan Related Issues

点赞(415) 阅读(118)

5【资料结构】读档相关 12/18更

点赞(415) 阅读(93)