WordPress plugin Contact Form 7 sigurnosni propust
Kritični sigurnosni propust pri prijenosu datoteka u Contact Form 7 omogućuje neovlaštenom posjetitelju da preuzme web stranicu na kojem se nalazi dodatak.
Zakrpa za popularni WordPress dodatak pod nazivom Contact Form 7 objavljena je u četvrtak. Ispravlja kritičnu programsku pogrešku koja omogućava neautoriziranom posjetitelju da preuzme web stranicu na kojem se nalazi dodatak ili da čak preuzme čitav poslužitelj na kojem je smještena web stranica. Zakrpa dolazi u obliku ažuriranja verzije 5.3.2 dodatka Contact Form 7.
Ovaj je plugin aktivan na više od 5 milijuna web stranica, a većina njih ( 70 posto ) ima verziju 5.3.1 ili stariju.
Kritična ranjivost (CVE-2020-35489) klasificirana je kao greška u prijenosu datoteka kojom je neograničen prijenos bilo koje vrste datoteke, prema istraživanju Astra Security Research, koje je u srijedu pronašlo nedostatak.
Brzi popravak
Programer dodatka (Takayuki Miyoshi) brzo je popravio ranjivost, shvaćajući njezinu kritičnu prirodu. Bilo je potrebno objaviti ažuriranje što je prije moguće kako bi spriječili bilo kakvo iskorištavanje propusta. Ažuriranje koje rješava problem već je objavljeno, u verziji 5.3.2.Lovac na programske pogreške, zaslužan za identificiranje nedostatka, Jinson Varghese, napisao je da ranjivost omogućuje neautoriziranom korisniku da zaobiđe ograničenja tipa datoteke i prenese izvršnu binarnu datoteku na web server koji koriste dodatak verzije 5.3.1 ili stariji.
Dalje, neovlašteni posjetitelj može učiniti brojne zlonamjerne stvari, kao što je uništavanje web stranice ili preusmjeravanje posjetitelja na web stranicu treće strane, pokušavajući posjetitelje prevariti u otkrivanju financijskih ili osobnih podataka.
Osim preuzimanja ciljane web stranice, napadač bi mogao narediti poslužitelju ako ne postoji odvajanje web stranica, uništavanje svi stranica na serveru neovisno radi li se o WordPress-u.
Jednostavno za iskorištavanje
To je lako iskoristiv sigurnosni propust. Napadač ne treba autorizaciju i napad se može izvesti anonimno na daljinu.Za korisnike koji imaju automatska ažuriranja dodatka za WordPress, softver će se automatski ažurirati. Svi ostali moraju žurno reagirati.
Tvrtka za web analitiku Netcraft procjenjuje da trenutno postoji 455 milijuna web stranica koje koriste platformu WordPress. To sugerira da bi 1,10 posto WordPress web stranica moglo biti ranjivo za napad zbog ovog propusta.
19
sij 2023
U 2022. tržište e-trgovine vrijedilo je više od 5 trilijuna dolara, a internetska prodaja brzo se povećala.
04
tra 2022
Adresa web stranice sastoji se od dvije komponente. Prvi je naziv domene, jedinstveni element koji povezuje vašu internetsku adresu s imenom i ciljevima vašeg brenda. Druga je ekstenzija naziva domene, koja odražava vrstu web stranice i njezinu svrhu.
04
tra 2022
Tijekom posljednja dva desetljeća, web se utkao u tkivo naših života. Ono što je počelo kao istraživački projekt postalo je najvažnija svjetska komunikacijska platforma i osnovni alat za milijarde ljudi.
Želite li promijeniti zadano ime pošiljatelja i adresu e-pošte za odlaznu e-poštu WordPressa? Prema zadanim postavkama, WordPress koristi 'WordPress' kao ime pošiljatelja za sve odlazne e-poruke s obavijestima vaše WordPress web stranice. U ovom članku pokazat ćemo vam kako promijeniti zadano ime pošiljatelja i adresu e-pošte u odlaznoj WordPress e-pošti.