„WordPress“ kontaktinė 7 formos peradresavimo papildinio pažeidžiamumas pasiekia 300K svetaines
admin 
„WordPress Contact Form 7“ priedo papildiniui buvo išduotas pažeidžiamumo patarimas, leidžiantis neautentifikuotiems užpuolikams „lengvai“ paleisti nuotolinio kodo vykdymą. Pažeidžiamumas yra įvertintas aukštai (8,8/10) CVSS grėsmės sunkumo skalėje.
„WordFence Advisory“ ekrano kopija, rodanti 8.8 CVSS sunkumo reitingą7 kontaktinės formos papildinio peradresavimas
Pažeidžiamumas daro įtaką 7 kontaktinės formos „WordPress“ papildinio, kuris įdiegtas daugiau nei 300 000 svetainių, peradresavimui. Papildinys praplečia populiaraus kontaktinės formos 7 papildinio funkcionalumą. Tai leidžia svetainės leidėjui ne tik nukreipti vartotoją į kitą puslapį, bet ir saugoti informaciją duomenų bazėje, siųsti pranešimus el. Paštu ir užblokuoti „Spammy“ formos pateikimus.
Pažeidžiamumas atsiranda papildinio funkcijoje. „WordPress“ funkcijos yra PHP kodo fragmentai, teikiantys konkrečias funkcijas. Konkreti funkcija, kurioje yra trūkumas, vadinama funkcija delete_associated_files. Šioje funkcijoje yra nepakankamas failo kelio patvirtinimo trūkumas, tai reiškia, kad ji nepatvirtina, ką vartotojas gali įvesti į funkciją, kuri ištrina failus. Šis trūkumas leidžia užpuolikui nurodyti kelią į failą, kurį reikia ištrinti.
Taigi užpuolikas gali nurodyti kelią (pvz., ../../Wp-config.php) ir ištrinti kritinį failą, pavyzdžiui, wp-config.php, išvalyti kelią nuotolinio kodo vykdymo (RCE) atakai. „RCE Attack“ yra tam tikro tipo išnaudojimas, leidžiantis užpuolikui nuotoliniu būdu vykdyti kenksmingą kodą (iš bet kurios vietos internete) ir įgyti svetainės valdymą.
„WordFence Advisory“ paaiškina:
„Tai suteikia galimybę neleistiniems užpuolikams ištrinti savavališkus failus serveryje, o tai lengvai gali sukelti nuotolinio kodo vykdymą, kai dešinysis failas ištrinamas (pvz., WP-config.php)“.
Pažeidžiamumas daro įtaką visoms papildinio versijoms iki 3.2.4 versijos ir įskaitant. Paveiktų papildinių vartotojams patariama atnaujinti papildinį į naujausią versiją.
„Shutterstock“/„AllhoPhoto Studio“ rodomas vaizdas
