Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Remote code execution / file upload lek in Wordpress plugin Contact Form 7 [CVE-2020-35489]

20-12-2020, 12:54 door Anoniem, 2 reacties
Er zit een beveiligingslek in de populaire WordPress plugin Contact Form 7 waardoor het mogelijk is om uitvoerbare bestanden te plaatsen op de server.

https://contactform7.com/2020/12/17/contact-form-7-532/

Site van de ontdekker: https://www.jinsonvarghese.com/
Site van Astra https://www.getastra.com/blog/911/plugin-exploit/contact-form-7-unrestricted-file-upload-vulnerability/
Reacties (2)
23-12-2020, 14:03 door Anoniem
Mijn familie gebruikte WordPress, maar ik moest wel elke week in de pen klimmen om ze te waarschuwen voor een nieuw lek of een lek in een of andere plugin.
23-12-2020, 14:48 door Anoniem
Door Anoniem: Mijn familie gebruikte WordPress, maar ik moest wel elke week in de pen klimmen om ze te waarschuwen voor een nieuw lek of een lek in een of andere plugin.

Tegenwoordig kunnen updates van zowel WordPress zelf als plugins automatisch worden geinstalleerd, maar er zijn veel sites die min of meer onbeheerd zijn omdat ze jaren geleden gebouwd zijn, met versies van destijds.

Het is een ernstig probleem als een Contact From 7 formulier een file upload heeft en er geen patch is geinstalleerd. Dan kan een aanvaller de site overnemen. Denk daarbij bijvoorbeeld aan slecht beheerde "werkenbij" sites of bouwbedrijven waar het normaal is om files te laten uploaden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.