W minionym tygodniu, odkryto bardzo groźną podatność w popularnym rozszerzeniu - Contact Form 7, która umożliwia umieszczenie na serwerze pliku z dowolnym kodem,
mogącym spowodować utratę kontroli nad maszyną. Podatność pozwala na wgrania pliku z podwójnym rozszerzeniem, który wtyczka zamieni na plik".php". Atakujący może zatem umieścić dowolny kod na serwerze.

Rekomendujemy aktualizację wtyczki Contact Form do wersji 5.3.2.

Więcej informacji o podatności:

https://www.bleepingcomputer.com/news/security/wordpress-plugin-with-5-million-installs-has-a-critical-vulnerability/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35489