Sårbarhed i Wordpress-plugin

Plugin’et, Contact Form 7 til Wordpress, har en sårbarhed, der kan give en angriber mulighed for at omgå Contact Form 7s beskyttelse af filnavnet ved oprettelse af filer. Det skriver Bleeping Computer.

Med udnyttelse af sårbarheden kan kan en angriber uploade en fil med vilkårlig kode på den sårbare server ved hjælp af pluginet, hvorefter filen kan afvikles som et script.

Der er frigivet en ny version af pluginet (version 5.3.2), som det anbefales at opdatere til.

Links:

https://www.bleepingcomputer.com/news/security/wordpress-plugin-with-5-million-installs-has-a-critical-vulnerability/

https://contactform7.com/2020/12/17/contact-form-7-532/#more-38314