Contact Form 7 per WordPress Vulnerabile

Contact Form 7 <= 5.0.3 - register_post_type() Privilege Escalation

on

Secondo la versione ufficiale:

È stata rilevata una vulnerabilità di escalation dei privilegi in Contact Form 7 5.0.3 e versioni precedenti. Utilizzando questa vulnerabilità, un utente che ha eseguito l’accesso nel ruolo Collaboratore può potenzialmente modificare i moduli di contatto, ai quali solo gli utenti di ruolo Amministratore e Editor possono accedere per impostazione predefinita, questo problema è stato segnalato da Simon Scannell di RIPS Technologies.

Per ridurre al minimo il danno da possibili attacchi che sfruttano tali vulnerabilità, Contact Form 7 5.0.4 e versioni successive limiterà la funzionalità di collegamento file locale. Più in particolare, non sarà più possibile specificare un percorso file assoluto che fa riferimento a un file posizionato all’esterno della directory del contenuto wp. È comunque possibile specificare i file all’interno della directory del contenuto wp con percorsi di file relativi o assoluti, quindi tutto ciò che è necessario modificare è la posizione dei file allegati. “

Secondo il changelog:

“Specifica esplicitamente l’argomento capability_type nella chiamata register_post_type () per correggere il problema di vulnerabilità di escalation di privilegi.”

Si consiglia di aggiornare con estrema urgenza all’ultima release.

Internauta dal 1994, studente del corso di Laurea in Tecnologie Informatica in UNICAM, sono sviluppatore e sistemista Linux dal 2000. Fondatore di LEAD MAGNET S.r.l. e ManagedServer.it azienda di Hosting WordPress / WooCommerce ottimizzato e sistemistica Linux orientata alle performance. Vivo ad Arad in Romania dal 2018.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.