В WordPress-плагине Contact Form 7 пропатчили критическую уязвимость

В WordPress-плагине Contact Form 7 пропатчили критическую уязвимость

В WordPress-плагине Contact Form 7 пропатчили критическую уязвимость

Разработчики популярного WordPress-плагина Contact Form 7 выпустили патч для критической уязвимости, позволяющей захватить контроль над сайтом и сервером, на котором он размещен. Пользователям настоятельно рекомендуют обновить расширение до сборки 5.3.2 в кратчайшие сроки.

Плагин Contact Form 7 предназначен для управления множественными формами контакта на сайтах. В настоящее время на его счету числится более 5 млн установок; наличие в нем опасной уязвимости предоставляет хакерам хорошую возможность для массового взлома сайтов.

Уязвимость, о которой идет речь (CVE-2020-35489), классифицируется как «загрузка произвольных файлов». Она позволяет обойти фильтр принимаемых расширений для файлов и загрузить на сервер вредоносный код. Согласно блог-записи авторов находки, данная проблема актуальна для всех прежних выпусков Contact Form 7 и может повлечь такие последствия, как

  • установка веб-шелла и внедрение сторонних скриптов;
  • захват контроля над сайтом и сервером;
  • дефейс сайта.

Эксперты BleepingComputer проанализировали уязвимость и пришли к выводу, что ее причиной является неадекватная санация имен загружаемых файлов. Как оказалось, скрипт includes/formatting.php, являющийся частью кода плагина, не вычищает из имени специальные знаки, такие как управляющие символы и разделитель. Это позволяет загрузить на сервер файл с двумя расширениями, разделенными непечатаемым или специальным знаком — к примеру, abc.php    .jpg. На стороне клиента такой объект будет выглядеть как файл изображений, однако при парсинге на сервере расширение за разделителем, скорее всего, будет отброшено, и загружаемый файл будет воспринят как php-скрипт.

Разработчики Contact Form 7 быстро отреагировали на уведомление об опасной ошибке, — им удалось за день подготовить и выпустить патч. Ввиду большой площади атаки обновление 5.3.2 следует установить незамедлительно; его можно скачать из каталога плагинов на портале WordPress.org.

Похожую брешь в конце прошлого месяца закрыли в Drupal. Уязвимость CVE-2020-13671 в CMS-системе тоже позволяла выполнить на сервере вредоносный код посредством загрузки файла с двойным расширением.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление Windows 11 снова доступно для игроков с Easy Anti-Cheat

У Microsoft наконец-то дошли руки до игроков, которых раздражал синий экран смерти при попытке обновиться до Windows 11 версии 24H2. Всё дело было в конфликте с Easy Anti-Cheat — популярной системой античита, которая используется во множестве онлайн-игр вроде Apex Legends, Rust, Fortnite и даже ELDEN RING.

Проблема всплыла в июне: при запуске некоторых игр Windows просто внезапно перезагружалась или выбрасывала BSOD с ошибками, связанными с ntoskrnl.exe или EasyAntiCheat_EOS.exe. Тогда Microsoft даже выпустила срочное обновление (KB5063060), чтобы хоть как-то приглушить панику среди геймеров.

И вот — хорошая новость: 24 июля компания официально сняла ограничение, не дававшее установить новое обновление Windows на устройства с Easy Anti-Cheat. Теперь, если у вас не стоит других блокировок, можно спокойно обновляться через Windows Update.

Хотя есть нюанс: некоторые компьютеры всё ещё могут показывать предупреждение о несовместимой версии Easy Anti-Cheat. Но, по словам Microsoft, если запустить и обновить одну из часто используемых игр, античит подтянет нужную версию сам.

Важно: BSOD больше не будет даже при наличии старой версии античита — если только вы не запускаете с ним игру.

Вообще, это не первая такая история. Ранее Microsoft уже блокировала обновления для некоторых моделей с Intel Alder Lake+ и vPro из-за сбоев в игре Asphalt 8 и тех же синих экранов. А ещё проблемы были у пользователей AutoCAD и Safe Exam Browser — но и эти блокировки уже сняты.

Если вы всё ещё сидите на старой версии Windows 11 из-за «проблем с играми» — самое время проверить обновления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru