Plug -in de formulário de contato do WordPress A vulnerabilidade do plug -in afeta 70k sites

Plug -in de formulário de contato do WordPress A vulnerabilidade do plug -in afeta 70k sites


Um aviso de vulnerabilidade foi emitido para um plug -in do WordPress que salva os envios do formulário de contato. A falha permite que atacantes não autenticados excluam arquivos, iniciem um ataque de negação de serviço ou executem execução de código remoto. A vulnerabilidade recebeu uma classificação de gravidade de 9,8 em uma escala de 1 a 10, indicando a seriedade da questão.

Banco de dados para o formulário de contato 7, WPForms, Plugin de formulários Elementor

O banco de dados para o Formulário de Contato 7, WPForms, Formulários Elementor, também aparentemente conhecido como plug -in de entradas do formulário de contato, salva entradas do formulário de contato no banco de dados do WordPress. Ele permite que os usuários visualizem envios de formulário de contato, pesquisem, marque -os como leitura ou não lida, exportem e executem outras funções. O plug -in possui mais de 70.000 instalações.

O plug -in é vulnerável à injeção de objeto PHP por um invasor não autenticado, o que significa que um invasor não precisa fazer login no site para lançar o ataque.

Um objeto PHP é uma estrutura de dados no PHP. Os objetos PHP podem ser transformados em uma sequência de caracteres (serializados) para armazená -los e depois desserializados (transformados de volta em um objeto). A falha que dá origem a essa vulnerabilidade é que o plug -in permita que um invasor não autenticado injete um objeto PHP não confiável.

Se o site do WordPress também tiver o plug -in do formulário de contato 7 instalado, ele poderá acionar uma corrente pop durante a desertalização.

De acordo com o aviso do Wordfence:

“Isso possibilita que os invasores não autenticados injetem um objeto PHP. A presença adicional de uma cadeia pop no plug-in do formulário de contato 7, que provavelmente será usada ao lado, permite que os invasores excluam arquivos arbitrários, levando a uma negação de serviço ou execução remota de código quando o arquivo wp-config.php for denunciado” ”

Todas as versões do plug -in até 1.4.3 são vulneráveis. Os usuários são aconselhados a atualizar seu plug -in para a versão mais recente, que a partir desta data é a versão 1.4.5.

Imagem em destaque de Shutterstock/Tavizta



Source link

Postagens Similares

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *