ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

非常に深刻な SQLi の脆弱性が、人気のある WordPress プラグインで発見されました - Advanced Contact Form 7 DB は、40,000 以上のアクティブなインストールがあります。 Contact Form 7 の脆弱性が最初に報告されたのは 3 月 26 日で、新しいパッチが適用されたバージョン 1.6.1 が 2 日前の 4 月 10 日に公開されました。パッチが適用されたバージョンはここにありますが、サブスクライバーのアカウントを持っている人でもこの脆弱性が悪用される可能性があるため、現在のユーザーはまだ心配する必要があります.

リスク ステータス - 高度なコンタクト フォーム 7 の脆弱性

この脆弱性に付随するリスクは、悪意のあるユーザーによってさらに悪用される可能性があるため、重大なカテゴリに分類できます。この脆弱性は、ハッカーがデータベースにダーティ コードを挿入し、貴重なデータにアクセスするための無料のエントリとしても機能する可能性があります.

一言で言えば、これらはうまくいかない可能性があります:

  • 悪意のある人物が悪意のあるコンテンツをデータベースに挿入する可能性
  • ハッカーは機密データを漏洩する可能性があります
  • これにより、WordPress のインストールが侵害される可能性もあります。

プラグインの開発者は、パッチを適用したバージョンをすぐにリリースしました。その結果、WordPress は The Yuzo Related Posts のようにプラグインを一時停止しませんでした。 プラグインはわずか 2 日前です。高度な Contact Form 7 DB は、新規インストールで引き続き利用できます。 Advanced Contact Form 7DB で検索したら出てきたのがこれ WordPress プラグイン ディレクトリにあります。

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

WordPress のセキュリティが心配ですか? Astra Website Security にアクセスするか、チャット ウィジェットにメッセージをドロップしてください。喜んでお手伝いいたします。 WordPress ウェブサイトを今すぐ修正

詳細 - 高度なコンタクト フォーム 7 の脆弱性

つまり、WordPress には基本的に wp-ajax-parse-media-shortcode という機能があります。 コード作成者が長いコードの代わりに短いコードを使用できるようにします。これを使用して、プラグイン開発者はショートコード acf7db を定義しました public/class-advanced-cf7-db-public.ph 内 p ファイル。

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

これに加えて、プラグイン開発者はもう 1 つのピボットの詳細 wpdb::prepare を無視しました。 wpdb::prepare SQLクエリをサニタイズして、有効で本物のクエリのみに道を譲るために使用されます。 wpdb->get_results() を使用したコード作成者 wpdb::prepare の代わりに これは、クエリを挿入するための非常に安全な方法ではありません。脆弱なコードを下の図に示します:

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある

$fid その結果、悪意のあるコードをクエリとして受け取り、重大な事故につながる可能性があります。ただし、悪用はまだ報告されていないことをここで宣言する必要があります。これは、事前にユーザーに警告するための予防措置にすぎません。

必要なアクション

このプラグインを更新 Web サイトに近づく可能性のある脅威をできるだけ早く迂回させます。その後、テーマの更新に進むことができます およびパスワードのリセット .この脆弱性を悪用すると、重要な機密データが攻撃者に漏洩する可能性があります。

このような多くの可能性のある攻撃から Web サイトを保護するには、月額わずか 19 ドルの Astra のマルウェア スキャナーを使用できます。また、当社の VAPT (脆弱性評価および侵入テスト) サービスにより、当社のエンジニアがお客様の Web サイトを徹底的にチェックし、考えられるすべての脆弱性を修正します。

今すぐ Astra のデモをお試しください!

WordPress プラグイン Advanced Contact Form 7 DB に SQLi に対する脆弱性がある


  1. WPForms Plugin 1.5.9 に XSS の脆弱性が見つかりました - すぐに更新してください

    WPForms プラグイン バージョン 1.5.8.2 以下は、プラグインを監査しているときに、認証済みの保存された XSS に対して脆弱であることがわかりました。データのサニタイズが改善された WPForms バージョン 1.5.9 が 2020 年 3 月 5 日にリリースされました。 CVE ID: CVE-2020-10385 まとめ WPForms は、300 万以上のアクティブ インストールを持つ人気のある WordPress フォーム プラグインです。認証されたクロスサイト スクリプティング (XSS) の脆弱性に対して脆弱であることが判明しました。 XSS は、被害者のセ

  2. GDPR Cookie Consent プラグインに不適切なアクセス制御の脆弱性 |今すぐアップデート

    ユーザーが簡単に GDPR に準拠できるようにする WordPress GDPR cookie 同意プラグインは、不適切なアクセス制御に対して脆弱であることが判明しました。この脆弱性は、権限昇格や Web サイトに保存された XSS などの重大な脆弱性につながる可能性があります。 GDPR Cookie 同意プラグインは、これを書いている時点で 700,000 以上の WordPress Web サイトで積極的に使用されています。 脆弱性のタイムライン 報告日 – 2020 年 2 月 4 日 修正日 – 2020 年 2 月 10 日 影響を受けるバージョン – すべてのバージョン