WordPressの「Contact Form 7」にファイルアップロードの重大な脆弱性が発覚。すでに脆弱性を修正したパッチが公開済みです。
現在WordPressで「Contact Form 7」を利用中のユーザーは早急に最新バージョン(ver.5.3.2)へのアップデートを行ってください。
今回発覚した脆弱性を悪用されると、攻撃者はプラグインを利用し脆弱性のあるサーバ上に任意のコードで細工されたファイルをアップロードすることができます。そして、この深刻な脆弱性を悪用することで、ファイルは攻撃者によってスクリプトとして実行され、内部のコードを実行させることができます。
「Contact Form 7」公式サイトのリリース文章は以下の通り。
Contact Form 7 5.3.2 がリリースされました。これはセキュリティとメンテナンスのための緊急リリースです。今すぐ更新してください。
非制限ファイルアップロードの脆弱性が Contact Form 7 5.3.1 以前のバージョンに見つかりました。この脆弱性を利用することで、フォーム送信者は Contact Form 7 のファイル名無害化処理を迂回でき、ホストサーバー上でスクリプトファイルとして実行される可能性のあるファイルをアップロードできるようになります。この問題は Astra Security の Jinson Varghese Behanan により報告されました。
詳細な脆弱性の内容は以下のサイトが詳しく紹介されているので参考にどうぞ。
コメント