Разработчики популярного WordPress-плагина Contact Form 7 сообщили, что закрыли серьёзную уязвимость, связанную с неограниченной загрузкой файлов. Она позволяла злоумышленникам добавлять на сайт вредоносные скрипты.
Уязвимость неограниченной загрузки файлов в плагине WordPress – это когда плагин позволяет злоумышленнику загрузить веб-оболочку (вредоносный скрипт), которая затем может быть использована для захвата сайта, вмешательства в базу данных и т.д.
Разработчики уже закрыли эту брешь и настоятельно рекомендуют всем пользователям плагина обновить его до последней версии (7.5.3.2 и выше).
Уязвимость была обнаружена исследователями безопасности из компании Astra.
Плагин Contact Form 7 позволяет создавать контактные формы любой сложности и настраивать их под любые потребности. Он используется на 5+ млн сайтов.
Напомним, что ранее в этом месяца была обнаружена уязвимость в WP-плагине Easy WP SMTP, который используется для отправки всех писем с сайта через указанный SMTP-сервер.