Wednesday, January 20, 2021

Contact Form 7: Κενό ασφαλείας επηρεάζει 5+ εκατ. ιστοσελίδες

Good News

Transfer & Win: Μεταφέρετε τη φιλοξενία από άλλο πάροχο, στη MultiHosting, κερδίστε έως 12 μήνες δώρο

Είστε δυσαρεστημένοι από τον πάροχο φιλοξενίας της ιστοσελίδας σας; Η Υποστήριξη που σας παρέχουν δεν είναι αυτή που σας υποσχέθηκαν; Βρεθήκατε μπροστά σε ψιλά γράμματα και...

Αναβάθμισε από Free Hosting σε SSD Δelta Hosting και Κέρδισε 50% Έκπτωση!

Έχεις επιλέξει Δωρεάν Hosting για το domain σου στη MultiHosting; Ε τότε μήπως ήρθε η στιγμή να αναπτύξεις τη σελίδα σου και...

Νέο Φοιτητικό Πακέτο Hosting!

Είσαι Φοιτητής; Η MultiHosting πρόσθεσε ένα Νέο Super Πακέτο Hosting αποκλειστικά για φοιτητές. Στείλε μας την φοιτητική σου ταυτότητα και απόλαυσε μια εξαιρετική εμπειρία Hosting...

Black Friday… Ready και το 2019!

Η τελευταία Παρασκευή του Νοεμβρίου, ή αλλιώς η γνωστή πλέον σε όλους Black Friday είναι και πάλι προ των πυλών. Παραδοσιακά τα τελευταία χρόνια...

Κρίσιμο κενό ασφαλείας που εντοπίστηκε στο δημοφιλές WordPress Plugin Contact Form 7 επιτρέπει σε κακόβουλους χρήστες να «φορτώσουν» κακόβουλο κώδικα στις ευάλωτες ιστοσελίδες.

Αναλυτικότερα, η ευπάθεια επιτρέπει στον επιτιθέμενο χρήστη να «ανεβάσει» στο ευάλωτο site ένα web shell (κακόβουλο script) το οποίο μπορεί να χρησιμοποιηθεί στη συνέχεια με σκοπό να αποκτήσει τον έλεγχο της ιστοσελίδας, να «πειράξει» τη βάση δεδομένων κ.ο.κ.

Για όσους από εσάς δεν είναι εξοικειωμένοι με την ορολογία, ένα web shell είναι ένα κακόβουλο script το οποίο μπορεί να «συνταχθεί» σε οποιαδήποτε «γλώσσα», να μεταφορτωθεί σε μία ευάλωτη ιστοσελίδα, να «επεξεργαστεί» αυτόματα αποκτώντας μερική ή και πλήρη πρόσβαση στην ιστοσελίδα, να εκτελέσει εντολές κατά βούληση, να «πειράξει» τη βάση δεδομένων, κ.α.

Σύμφωνα με τους δημιουργούς του plugin, πρόκειται για ένα «έκτακτο και κρίσιμο» update (το οποίο καλό θα ήταν να κάνετε άμεσα όσοι βασίζεστε στο συγκεκριμένο plugin.

Όσοι από εσάς ενδιαφέρεστε για τις πλήρεις, τεχνικές, πληροφορίες, μπορείτε να ανατρέξετε στην επίσημη σελίδα του WordPress για το Contact Form 7 (plugin repository).

Filename Sanitisation

Για να κατανοήσετε, όμως, λίγο περισσότερο τη φύση του προβλήματος, θα αναφερθούμε σε μία λειτουργία που επεξεργάζεται τις μεταφορτώσεις (uploads).

Οι filename sanitisation λειτουργίες αυτές σχεδιάζονται με σκοπό να φιλτράρουν τους τύπους των αρχείων που μεταφορτώνονται κατά τη διαδικασία του upload μπλοκάροντας συγκεκριμένες καταλήξεις ή συγκεκριμένες διαδρομές.

Στην περίπτωση του Contact Form 7, αυτό ήταν ακριβώς και το πρόβλημα του plugin καθώς από σφάλμα στον κώδικα ήταν δυνατή η μεταφόρτωση διαφόρων -μη επιτρεπτών υπό φυσιολογικές συνθήκες- τύπων αρχείων.

Η ευπάθεια του plugin ανακαλύφθηκε για πρώτη φορά από τους ερευνητές της Astra και έχει επιδιορθωθεί στην έκδοση 5.3.2 του δημοφιλούς plugin.

Όλες οι προγενέστερες εκδόσεις του plugin θεωρούνται ευάλωτες στο συγκεκριμένο πρόβλημα και θα πρέπει να ενημερωθούν το ταχύτερο δυνατό.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

- Advertisement -

Νέα άρθρα

Τι να κάνεις αν το site σου μπει στη μαύρη λίστα της Google

Εάν η ιστοσελίδα σου έχει μπει ποτέ στη μαύρη λίστα της Google ή ανησυχείς για το ποιοι λόγοι θα μπορούσαν να σε οδηγήσουν σε...

WordPress: Το πιο δημοφιλές CMS για το 2021

Οι Web Developers συνιστούν WordPress; Πάντως, σύμφωνα με νέα δεδομένα, το WordPress είναι το πιο δημοφιλές CMS για το 2021 (Content Management System) καθώς...

Contact Form 7: Κενό ασφαλείας επηρεάζει 5+ εκατ. ιστοσελίδες

Κρίσιμο κενό ασφαλείας που εντοπίστηκε στο δημοφιλές WordPress Plugin Contact Form 7 επιτρέπει σε κακόβουλους χρήστες να «φορτώσουν» κακόβουλο κώδικα στις ευάλωτες ιστοσελίδες. Αναλυτικότερα, η...

MultiHosting: Δωρεάν Web Hosting σε ΜΚΟ

Αν θα έπρεπε να σας πούμε απλά τα νέα μας, θα λέγαμε μόνο πως στα πλαίσια της Εταιρικής Κοινωνικής Ευθύνης της MultiHosting, προσφέρουμε για...

Διορθώθηκε το 99% των mobile-indexing και canonicalization bugs της Google

Η Google δημοσίευσε ακόμη μία ενημέρωση σχετικά με τα προβλήματα στα mobile-indexing και canonicalization (τον τρόπο με τον οποίο, δηλαδή, η Google εντοπίζει και διαχειρίζεται...