Astra Security 昨天发布这个紧急通知,新的 Contact Form 7 补救更新已经发布,请在安全状况下尽快更新,以免招来不当的损失,下方引述官方的择要。
引用原文来源:
在 Contact Form 7 中发现的不受限制的文件上传漏洞,请立即更新
Contact Form 7 是最流行的 WordPress 外挂之一,它允许用户在其网站上添加多个联络表单。该插件目前有超过 500 万个活动安装。因此,此插件中的任何漏洞都会使数百万个网站受到威胁。
我们的研究团队由 Jinson Varghese 领导,最近在 WordPress 外挂Contact Form 7 5.3.1 和更早版本中发现了一个严重性很高的 Unrestricted File Upload 漏洞。通过利用此漏洞,攻击者可以简单地上载任何类型的文件,而绕过有关网站上允许的可上传文件类型的所有限制。此外,它还允许攻击者将恶意内容(例如 Web Shell)注入使用 5.3.1 以下版本的 Contact Form 7 外挂版本的网站中。
Astra Security Research 团队最初於 2020 年 12 月 16 日通过其支持论坛与 Contact Form 7 外挂开发人员联系。在收到插件开发人员的确认後,我们於 2020 年 12 月 17 日披露了有关此漏洞的全部详细信息。当天,发布了最终的足够补丁。我们强烈建议您立即将外挂更新到最新版本 5.3.2。
两周後,将添加有关此漏洞的更多详细信息,以使用户有足够的时间进行更新并采取必要的措施以确保安全。
注意:如果您使用的是 Astra Security 的防火墙和恶意软件扫描器,则将自动获得开箱即用的保护。为了获得更好,更广泛的覆盖范围,我们建议您通过此方法在 WordPress 上安装 Astra Security
联系表单 7(5.3.1和更早版本)中的文件上传漏洞的後果
可以上传Web Shell并注入恶意脚本
如果同一服务器上的网站之间没有容器化,则完全收购网站和服务器破坏网站。
特别提及Contact Form 7插件开发人员Takayuki Miyoshi,他在考虑到插件用户的安全性的同时迅速做出响应并解决了该问题。 Takayuki迅速做出反应,采取了行动,并发布了更新,这激发了人们对Contact Form 7对安全性的承诺的信心。
随着网络威胁形势向互联网破坏迈出了又一步,威胁参与者正在积极发现新技术,以压倒在线业务。为了防止此类插件漏洞,您需要确保已采取所有安全措施来保护您的站点和在线业务。
如果您使用的是Contact Form 7 外挂版本5.3.1及更低版本,强烈建议将该 WordPress 外挂更新为最新版本,即 5.3.2(在撰写本文时)。
什麽是 DA (Domain Authority 网域权威值) 和 PA (Page Authority 页面权威值) ?
一群喜欢网站架设的爱好者
推动 WordPress 社群持续的健康发展
建立关爱和共融的互动社群
适合完全没有任何基础和
不懂程序的入门者和新手
只要您勇敢踏出第一步
要建立自己的部落格或网站
其实没有非常困难
第一次网站制作吗?
欢迎来到我们的社团
学习网页设计
WordPress Valley - 网站迷谷【免费教学网站】
WordPress Valley - 网站迷谷【Facebook 讨论社团】
WordPress Valley - 网站迷谷【追踪 Instagram】
>>: [Cmoney 菁英软件工程师战斗营] IOS APP 菜鸟开发笔记(5)----关於导入Google Maps API 遇到的问题
延续之前的浏览列的实作,这次要增加登入跟注册纽,其实我也还在想这个网站是否需要注册功能,毕竟是私人社...
一般写程序的时候,我会将HTML和Javascript分开来写,但react提供了JSX的语法,将h...
这篇文章想跟大家分享跟 YouTube 相关的捷径教学 — 如何下载 YouTube 高画质影片转成...
终於到了30天的尾声,该学的都学了! 接下来就是运用在实际的案例上。剩下的这几天我要跟着「重新认识V...
前言 感谢我们一同坚持到第 30 天,本篇以「团队共生」为题,总括前述所谈,萃取我认为在团队共同成长...