باگ امنیتی Contact Form 7 حدود 5 میلیون سایت را آسیب پذیر کرد!
خطر! هرچه سریعتر افزونه Contact Form را به آخرین نسخه آپدیت کنید. باگ امنیتی Contact Form 7 به هکرها اجازه می دهد تا اسکریپت های مخرب را بارگذاری کنند. گزارش ها حاکی از این است که این باگ امنیتی حدود 5 میلیون سایت را آسیب پذیر کرده است. توسعه دهندگان این افزونه معروف و البته کاربردی به سرعت بروزرسانی را منتشر نموده اند که مشکل رفع شود. برای اطلاع از جزئیات بیشتر این مسئله، مطلب را از سون هاست دنبال کنید!
آپلود فایل بدون محدودیت، باگ امنیتی Contact Form 7 است!
شاید با خواندن عنوان بالا به حاد بودن مسئله پی نبرده باشید! این آسیب پذیری افزونه به افراد خرابکار اجازه می دهد تا وب شل یا همان وب پوسته را به عنوان یک اسکریپت مخرب بارگذاری کنند و از آن طریق کنترل سایت شما را دست بگیرند؛ یعنی دسترسی به پایگاه داده و سایر نقاط حساس!
به زبان ساده تر! Web shell یک اسکریپت مخرب است که به روی سیستم قربانی بارگذاری می شود و امکانات مدیریت از راه دور را برای مهاجم فراهم می کند. وب شل می تواند روی هر سایتی با هر زبان برنامه نویسی بارگذاری و به صورت خودکار پردازش شود. بنابراین به راحتی می توان آن را برای دستیابی، اجرای دستورات، دستکاری در پایگاه داده و غیره برنامه ریزی نمود. تا به حال باید اهمیت مسئله باگ امنیتی Contact Form 7 را دریافته باشید.
Contact Form 7 آخرین بروزرسانی خود را با عنوان “urgent security and maintenance release” مشخص نموده است.
🔴درجه امنیت بالا!
Contact Form 7 این آسیب پذیری امنیتی را اینگونه گزارش می کند:
“آسیب پذیری آپلود فایل بدون محدودیت در Contact Form 7 5.3.1 و نسخه های قدیمی تر یافته ایم. با استفاده از این باگ امنیتی، فرد خرابکار به عنوان ارسال کننده فرم قادر به نفوذ به سایت می باشد و از طریق اجرای پرونده مانند یک اسکریپت مخرب به سرور میزبان وارد شود.”
شرح دقیق تر باگ امنیتی Contact Form 7 در صفحه این افزونه وردپرس منتشر شده است.
این جزئیات اضافی درباره آسیب پذیری افزونه بوده که در مخزن وردپرس مربوط به صفحه Contact Form 7 به اشتراک گذاشته شده است:
“کنترل، جداکننده و انواع دیگر نویسه های خاص از نام پرونده حذف می شوند تا مشکل آسیب پذیری آپلود فایل بدون محدودیت برطرف گردد.”
پیش تر مشکلی وجود داشت که باعث مجاز شدن ناخواسته پرونده های خطرناک بود.
تصویر بالا مربوط به بخش توسعه افزونه Contact Form 7 می باشد که توضیحات بروزرسانی جدید را اعلام کرده است.
شما همین الان می توانید به صفحه این افزونه بروید و توضیحات را مشاهده کنید!
پاک سازی نام پرونده Filename Sanitization
پاک سازی نام پرونده اشاره به عملگر مربوط به پردازش اسکریپت های آپلود شده دارد. توابع پاک سازی نام پرونده با اجرای محدودیت های خاصی برای کنترل هر نوع فایل قابل آپلود شدن طراحی شده اند. همچنین فرایند Filename Sanitization می تواند مسیرهای پرونده را کنترل کند.
عملکرد این فرایند طوریست که با مسدود کردن نام فایل های خاص یا اجازه دادن به یک لیست محدود از پرونده ها مانع از نفوذ می گردد.
باگ امنیتی Contact Form 7 حل شد!
این آسیب پذیری در ابتدا توسط محققان شرکت امنیت وب Astra کشف شد. پاک سازی نام پرونده به صورت کامل در نسخه Contact Form 7 5.3.2 رفع شده و از این بابت مشکلی وجود ندارد.
تمام نسخه های Contact Form 7 زیر 5.3.2 به پایین آسیب پذیرند و باید سریع بروزرسانی شوند.
💚لطفا خیلی زود دوستان خود را باخبر کنید!
امیدواریم که مطلب باگ امنیتی Contact Form 7 رضایت شما را به همراه داشته باشد. وبلاگ سون هاست سرشار از مطالب آموزشی متنوع در مورد توسعه وب سایت شماست، پس حتما سری به بخش های مختلف آن بزنید. در انتها سوالات و پیشنهادات خود را از طریق درج کامنت به گوش ما برسانید. اگر علاقمند به مباحث فنی بیشتری هستید، حتما در انجمن سون هاست موضوع جدیدی را ایجاد کنید.
با تشکر از سون هاست بابت اطلاع رسانی این مورد مهم.
خواهش می کنم. ممنون از همراهی شما 🌷