В WordPress-плагине с 5 миллионами установок нашли критическую уязвимость

Используя её, злоумышленники могут запустить собственный код на сервере жертвы.

Специалисты по кибербезопасности из Astra Security опубликовали свежий доклад. В нём они рассказали об уязвимости, найденной в популярном WordPress-плагине под названием Contact Form 7.

Команда исследователей под руководством Джинсона Варгезе обнаружила возможность неограниченной загрузки файлов в версии плагина 5.3.1 и старше. Используя данную брешь, хакеры могли загружать на сервер абсолютно любые файлы, несмотря на установленные пользователем ограничения. Также найденная уязвимость позволяла посторонним внедрять вредоносный код, в том числе и в виде веб-шеллов.

Astra Security Research уже направила письмо разработчику плагина, в результате чего он успел выпустить патч, закрывающий дыру в безопасности. В свою очередь пользователям специалисты из Astra посоветовали обновиться до Contact Form 7 5.3.2.

Напомним, что Contact Form — один из самых популярных плагинов для создания контактных форм на сайте. С его помощью можно создавать формы любых видов. Также в числе преимуществ плагина часто называют гибкость и удобство его настройки вместе с огромным коммьюнити, способным помочь в решении тех или иных проблем.

Источник: Astra Security