Contact Form 7 grave vulnerabilità per il plugin WordPress

Nel plugin Contact Form 7 di WordPress, è stato rilevata una grave vulnerabilità.

Come specificato dal comunicato sul sito ufficiale di Contact Form 7, la vulnerabilità del plugin consente a soggetti non autenticati di caricare file sul sito e quindi potenzialmente di prenderne il possesso e danneggiarlo (es. caricare/cancellare file, accedere al database, etc.).

Contact Form 7 5.3.2 è disponibile per il download. Si tratta di una versione urgente di sicurezza e manutenzione. Ti consigliamo vivamente di aggiornarlo immediatamente.

Una vulnerabilità legata al caricamento di file senza restrizioni è stata rilevata in Contact Form 7 5.3.1 e versioni precedenti. Utilizzando questa vulnerabilità, un mittente del modulo può ignorare il login e tramite Contact Form 7 e caricare un file che può essere eseguito come file di script sul server host.

Questo problema segnalato da Jinson Varghese Behanan di Astra Security .

Ti suggeriamo, se non hai già provveduto a farlo, di aggiornare il plugin ContactForm 7 alla versione 5.3.2 in modo da eliminare la vulnerabilità, o di disattivare/disinstallare il plugin se non più utilizzato.

Per maggiori informazioni sulle operazioni di verifica e aggiornamento da effettuare, potete contattarci via mail.

 

Share it