WordPress plugin Contact Form 7 sigurnosni propust

Kritični sigurnosni propust pri prijenosu datoteka u Contact Form 7 omogućuje neovlaštenom posjetitelju da preuzme web stranicu na kojem se nalazi dodatak.


Kritični sigurnosni propust pri prijenosu datoteka u Contact Form 7 omogućuje neovlaštenom posjetitelju da preuzme web stranicu na kojem se nalazi dodatak. Napadu je izloženo više od 5 milijuna web stranica koje koriste ovaj plugin.

Zakrpa za popularni WordPress dodatak pod nazivom Contact Form 7 objavljena je u četvrtak. Ispravlja kritičnu programsku pogrešku koja omogućava neautoriziranom posjetitelju da preuzme web stranicu na kojem se nalazi dodatak ili da čak preuzme čitav poslužitelj na kojem je smještena web stranica. Zakrpa dolazi u obliku ažuriranja verzije 5.3.2 dodatka Contact Form 7.

Ovaj je plugin aktivan na više od 5 milijuna web stranica, a većina njih ( 70 posto ) ima verziju 5.3.1 ili stariju.

Kritična ranjivost (CVE-2020-35489) klasificirana je kao greška u prijenosu datoteka kojom je neograničen prijenos bilo koje vrste datoteke, prema istraživanju Astra Security Research, koje je u srijedu pronašlo nedostatak.

Brzi popravak

Programer dodatka (Takayuki Miyoshi) brzo je popravio ranjivost, shvaćajući njezinu kritičnu prirodu. Bilo je potrebno objaviti ažuriranje što je prije moguće kako bi spriječili bilo kakvo iskorištavanje propusta. Ažuriranje koje rješava problem već je objavljeno, u verziji 5.3.2.

Lovac na programske pogreške, zaslužan za identificiranje nedostatka, Jinson Varghese, napisao je da ranjivost omogućuje neautoriziranom korisniku da zaobiđe ograničenja tipa datoteke i prenese izvršnu binarnu datoteku na web server koji koriste dodatak verzije 5.3.1 ili stariji.

Dalje, neovlašteni posjetitelj može učiniti brojne zlonamjerne stvari, kao što je uništavanje web stranice ili preusmjeravanje posjetitelja na web stranicu treće strane, pokušavajući posjetitelje prevariti u otkrivanju financijskih ili osobnih podataka.

Osim preuzimanja ciljane web stranice, napadač bi mogao narediti poslužitelju ako ne postoji odvajanje web stranica, uništavanje svi stranica na serveru neovisno radi li se o WordPress-u.

Jednostavno za iskorištavanje

To je lako iskoristiv sigurnosni propust. Napadač ne treba autorizaciju i napad se može izvesti anonimno na daljinu.

Za korisnike koji imaju automatska ažuriranja dodatka za WordPress, softver će se automatski ažurirati. Svi ostali moraju žurno reagirati.

Tvrtka za web analitiku Netcraft procjenjuje da trenutno postoji 455 milijuna web stranica koje koriste platformu WordPress. To sugerira da bi 1,10 posto WordPress web stranica moglo biti ranjivo za napad zbog ovog propusta.
Blog post

Kompanije koje se bave poslovanjem između poduzeća i softvera kao usluge, globalne divove e-trgovine i regionalni maloprodajni lanci imaju jednu zajedničku stvar: ulažu u optimizaciju tražilica.

Blog post

U ovom okruženju digitalnog marketinga koji se brzo razvija, otkrio sam da je ključ uspjeha ostati informiran o promjenama koje slijede. Budući da optimizacija za tražilice (SEO) još uvijek drži titulu u podizanju online vidljivosti i pokretanju organskog prometa, uspon umjetne inteligencije (AI) postao je prekretnica u industriji.

Blog post

Tehnički SEO je dobro izvedena strategija koja uzima u obzir različite signale rangiranja na stranici i izvan nje kako bi se vaša web stranica rangirala više u SERP-ovima. Svaka SEO taktika igra veliku ulogu u poboljšanju ranga vaše stranice osiguravajući da alati za indeksiranje weba mogu lako indeksirati i rangirati vašu web stranicu.

Blog post

U 2022. tržište e-trgovine vrijedilo je više od 5 trilijuna dolara, a internetska prodaja brzo se povećala.