Contact Form 7 WordPress eklentisinde güvenlik açığı tehlikesi! 5.000.000’den fazla sitede yüklü olan popüler Contact Form 7 WordPress eklentisinin geliştiricileri, kritik bir güvenlik açığı için bir düzeltme yayınladı.
Bu sorun, saldırganların önyükleme sırasında dosya adlarını temizlemekten sorumlu güvenlik mekanizmalarını kandırmasına olanak tanıdı. Sonuç olarak, Hackerlar kötü niyetli bir şekilde oluşturulmuş bir dosyayı savunmasız bir sunucuya yükleyebildi. Ardından içinde gizli olan kodu yürütmek için bir komut dosyası olarak çalıştırabildi.
Contact Form 7 WordPress eklentisinde güvenlik açığı tehlikesi
Hata, Astra Güvenlik uzmanları tarafından müşterilerinden biri için yaptıkları bir denetim sırasında keşfedildi. Güvenlik açığı, sürüm 7 5.3.2’de düzeltildi. Şimdi geliştiriciler, tüm site yöneticilerinin eklentiyi mümkün olan en kısa sürede güncellemesini şiddetle tavsiye ediyor.
Bleeping Computer, hatanın İletişim Formu 7’nin bir parçası olan include/formatting.php dosyasından kaynaklandığını açıkladı. Eklentinin etkilenen sürümleri, kaçış karakteri ve ayırıcı dahil olmak üzere indirilen dosyalardan özel karakterleri kaldırmadı. Bu nedenle saldırgan, sunucuya “abc.php.jpg” gibi çift uzantılı bir dosya yükleyebildi.
Bu örnekte, uzantılar arasındaki sınırlayıcı sekme karakteridir. Eklenti istemci arayüzü için, böyle bir dosya .jpg formatında normal bir resim gibi görünecektir. Ancak, sunucuya yüklendiğinde, İletişim Formu 7 dosya adını ayrıştıracak, gereksiz uzantıyı (jpg) atacak ve abc.php dosyası, yani bir PHP betiği, daha sonra bir saldırgan tarafından erişilebilecek sunucuya gönderilecektir.
İlgili Haber: Hackerlar, Savunmasız WordPress Sitelerine Saldırıyor
İlgili Haber: WordPress Sitenizi Daha Güvenli Tutmanız için Gerekenler!
Contact Form 7 Nedir?
Contact Form 7 ile birden çok wordpress iletişim formunu yönetebilir, buna ek olarak formları ve e-posta içeriklerini esnek bir biçimlendirmeyle özelleştirebilirsiniz. Form ajax ile güçlendirilmiş gönderim, CAPTCHA, Akismet istenmeyen filtreleri ve daha bir çok özellik destekliyor..
