W minionym tygodniu, odkryto bardzo groźną podatność w popularnym rozszerzeniu – Contact Form 7, która umożliwia umieszczenie na serwerze pliku z dowolnym kodem,
mogącym spowodować utratę kontroli nad maszyną. Podatność pozwala na wgrania pliku z podwójnym rozszerzeniem, który wtyczka zamieni na plik”.php”. Atakujący może zatem umieścić dowolny kod na serwerze.
Rekomendujemy aktualizację wtyczki Contact Form do wersji 5.3.2.
Więcej informacji o podatności:
https://www.bleepingcomputer.com/news/security/wordpress-plugin-with-5-million-installs-has-a-critical-vulnerability/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35489