+375 29 236-68-17
+375 29 228-06-03
Заказать звонок
Республика Беларусь г. Минск, ул. Герасименко 29
СтопВирус
Круглосуточная защита сайта от вирусов
О компании
  • О компании
  • Партнеры
  • Отзывы
  • Реквизиты
  • Вопрос ответ
Отзывы
Гарантии
Новости
Услуги
  • Удаление вирусов с сайта
    • Комплексная защита
    • Диагностика безопасности
    • Сайт под наблюдением
    • Срочная помощь
  • Обслуживание ПК NEW
    • Ремонт ноутбуков
    • Ремонт компьютеров
    • Установка Windows
    • Настройка сетей Ethernet
Блог
Контакты
Ещё
    СтопВирус
    О компании
    • О компании
    • Партнеры
    • Отзывы
    • Реквизиты
    • Вопрос ответ
    Отзывы
    Гарантии
    Новости
    Услуги
    • Удаление вирусов с сайта
      • Комплексная защита
      • Диагностика безопасности
      • Сайт под наблюдением
      • Срочная помощь
    • Обслуживание ПК NEW
      • Ремонт ноутбуков
      • Ремонт компьютеров
      • Установка Windows
      • Настройка сетей Ethernet
    Блог
    Контакты
    Ещё
      СтопВирус
      • О компании
        • Назад
        • О компании
        • О компании
        • Партнеры
        • Отзывы
        • Реквизиты
        • Вопрос ответ
      • Отзывы
      • Гарантии
      • Новости
      • Услуги
        • Назад
        • Услуги
        • Удаление вирусов с сайта
          • Назад
          • Удаление вирусов с сайта
          • Комплексная защита
          • Диагностика безопасности
          • Сайт под наблюдением
          • Срочная помощь
        • Обслуживание ПК NEW
          • Назад
          • Обслуживание ПК NEW
          • Ремонт ноутбуков
          • Ремонт компьютеров
          • Установка Windows
          • Настройка сетей Ethernet
      • Блог
      • Контакты
      • +375 29 236-68-17
        • Назад
        • Обратная связь
        • +375 29 236-68-17
        • +375 29 228-06-03
        • Заказать звонок
      Будьте на связи
      Республика Беларусь г. Минск, ул. Герасименко 29
      support@stopvirus.by
      • Facebook
      • Вконтакте
      • Twitter
      • Instagram
      • Telegram
      • Viber
      • WhatsApp
      • Яндекс.Дзен

      Еженедельное обновление WP.ContactForm7.CVE

      • Очистим сайт от вирусов. На сайте вирусы? Проверить сайт на вирусы. Удаление вирусов с сайта.
      • Блог
      • Еженедельное обновление WP.ContactForm7.CVE
      Еженедельное обновление WP.ContactForm7.CVE

      Критическая уязвимость была обнаружена в популярном плагине WordPress-Contact Form 7. Эта уязвимость позволяет злоумышленнику обойти проверку и загрузить произвольный файл, что может привести к удаленному выполнению кода.


      Используете ли вы плагин Contact Form 7 на своем сайте WordPress? Вам интересно, как известная уязвимость в плагине может повредить вашему сайту? По правде говоря, есть веские причины для беспокойства. Хотя уязвимость Contact Form 7 была обнаружена в 2018 году, на сегодняшний день она затрагивает сотни сайтов.

      Мы исследовали уязвимость и определили ее как эскалацию привилегий. Если хакерский эксплойт знает, как его использовать, он может взять под свой контроль ваш сайт. Такая атака может иметь разрушительные последствия для вашего сайта, потому что она позволяет хакерам использовать и злоупотреблять вашим сайтом для выполнения вредоносных действий.

      Хакеры получают права администратора на вашем сайте и могут заблокировать вас. Они портят ваш сайт, перенаправляют ваших клиентов на вредоносные сайты, крадут конфиденциальные данные, среди списка других хакерских действий.

      Последствия могут обостриться, если Google обнаружит взлом на вашем сайте. Они заносят ваш сайт в черный список, чтобы защитить его пользователей. Затем ваш веб-хост приостановит действие вашей учетной записи и переведет ваш сайт в автономный режим.

      Это может резко увеличить время и деньги, потраченные на устранение всех этих последствий.

      К счастью, вы можете исправить уязвимость, если будете действовать быстро и принимать правильные меры. В этом пошаговом руководстве мы покажем вам, как исправить уязвимость, а также предотвратить хаки повышения привилегий WordPress на вашем сайте.

      StopVirus

      Если вы подозреваете, что ваш сайт был взломан, обратитесь к нам мы быстро диагностируем и дадим достоверную информацию о вашем сайте наш продукт от StopVirus.  способен мониторить постоянно состояние вашего сайта а так же при надобности наши специалисту устранят проблему в кротчайшие сроки. Он будет сканировать ваш сайт WordPress и идентифицировать Хак.

      Контактная форма 7 является одним из самых популярных плагинов WordPress и имеет более 5 миллионов активных установок. Таким образом, любая уязвимость в этом плагине ставит миллионы сайтов под угрозу взлома.

      Прежде чем мы покажем вам, как это исправить, давайте разберемся в этой уязвимости и посмотрим, как хакеры могут ее использовать.

       

      Что такое уязвимость эскалации привилегий в WordPress?

      Проработав с веб-сайтами WordPress более десяти лет, многие веб-сайты имеют несколько человек, работающих над ними.

      Мы все знаем, что пользователи могут иметь разные роли – подписчики, участники, авторы, редакторы, администраторы и суперадминистраторы.

      Администратор и суперадмин имеют полный контроль над сайтом WordPress. Другие имеют ограниченные привилегии.

      Выделение правильных ролей пользователей гарантирует, что никто не будет эксплуатировать ваш сайт. Возможно, вам придется предоставить пользователю доступ к людям, которым вы не доверяете, но вы не должны делать их администраторами.

      В ролях пользователей WordPress подписчики имеют наименьшие разрешения, в то время как супер-администраторы могут вносить изменения абсолютно во все на веб-сайте.

      При атаке на повышение привилегий хакеры получают доступ к более низким ролям, таким как подписчик WordPress. Но в этой роли они не могут делать ничего, кроме просмотра панели мониторинга и внесения изменений в свой собственный профиль.

      Однако, если они обнаружат уязвимость повышения привилегий в одном из плагинов, они могут использовать ее, чтобы получить больше разрешений на роль подписчика. Эта уязвимость позволяет им обходить ограниченные разрешения. Таким образом, они получают статус администратора или роль, где они могут нанести значительный ущерб.

      Теперь уязвимость повышения привилегий WordPress в контактной форме 7 немного отличается. Давайте посмотрим.

       

      Техническая Информация Об Уязвимости Повышения Привилегий WordPress В Контактной Форме 7

      Этот раздел немного технический, но если вы используете плагин Contact Form 7 на своем сайте WordPress, хорошо знать, что происходит.

      Две точки уязвимости в этом плагине могут позволить хакерам изменять содержимое и загружать свои собственные вложения файлов на ваш сайт. Давайте посмотрим на обоих:

      Изменение Содержимого И Доступ К Конфиденциальным Файлам

      Чтобы понять, как эта уязвимость WordPress, вам нужно сначала обратить внимание на несколько моментов:

        • Содержимое этой формы хранится в папке под названием wp-content на вашем веб-сайте WordPress. Он обычно содержит все данные, связанные с вашим контентом, но не имеет файлов, содержащих конфиденциальные данные вашего сайта.
        • За пределами этой папки находятся такие файлы, как файл wp-config и файл .htaccess, содержащие учетные данные базы данных и конфигурации вашего веб-сайта.
        • Если хакер получит в свои руки эти файлы, размещенные снаружи, он может захватить ваш сайт и захватить контроль над ним. Мы можем сказать вам, что это плохая ситуация, если хакер получает доступ к вашей папке wp-content, но вы сталкиваетесь с ограниченным ущербом. Но если они могут получить доступ к файлам за пределами этой папки, они могут запускать очень опасные атаки.

      Используя плагин Contact Form 7, Вы можете создавать различные виды форм на своем сайте. В идеале только администраторы и редакторы должны иметь доступ к созданию и редактированию содержимого этих форм.

      Параметр capability_type определяет права доступа пользователей и используется для чтения, редактирования и удаления возможностей различных пользователей. Но из-за недостатка этого параметра он позволяет вносить изменения в любую роль пользователя.

      С технической точки зрения он допускает абсолютный путь к файлу, т. е. /host/home/xxxxxx.pdf. это опасно, потому что позволяет хакеру редактировать форму и предоставлять себе доступ к файлам вне wp-контента.

      Загрузка Файлов На Ваш Сайт

      Некоторые формы принимают файлы, такие как резюме или удостоверение личности. Стандартные форматы, такие как PDF, JPEG, PNG и GIF, приемлемы и не должны вызывать никаких проблем на вашем сайте.

      Однако уязвимость плагина Contact Form 7 может позволить пользователю изменять типы принимаемых файлов. Это означает, что ваш сайт может начать принимать файлы, такие как PHP и ASP. Эти файлы выполняют команды и функции на вашем сайте. Это означает, что хакер может отправить PHP-файл с вредоносной командой через контактную форму.

      Эта команда может выполнять различные действия, такие как:

        • Создайте бэкдор на своем сайте, который позволит хакеру получить к нему доступ, когда он захочет.
        • Создайте пользователей rogue admin, которые предоставят им доступ через вашу страницу входа.
        • Модифицируйте содержание вашего сайта для продажи или продвижения нелегальных продуктов / наркотиков.
        • Перенаправляйте своих посетителей на вредоносные или взрослые сайты.

      Список хакерских действий очень длинный! Это в ваших же интересах, чтобы предотвратить такие хаки, исправляя уязвимости безопасности, как это быстро.


      Поделиться
      Назад к списку
      • Комментарии
      Загрузка комментариев...
      Категории
      • CMS2
      • Новости7
      • Новые вирусы43
      • Партнеры2
      Это интересно
      • Еженедельное обновление WP.Core.5.5.2.CVE
        Еженедельное обновление WP.Core.5.5.2.CVE
        30 октября 2020
      • Еженедельное обновление WP.Core.5.4.2.CVE
        Еженедельное обновление WP.Core.5.4.2.CVE
        7 октября 2020
      • Еженедельное обновление WP.Elementor.5.CVE
        Еженедельное обновление WP.Elementor.5.CVE
        1 октября 2020
      • Еженедельное обновление Drupal.CVE.Core-2020-007
        Еженедельное обновление Drupal.CVE.Core-2020-007
        1 октября 2020
      • Еженедельное обновление Drupal.CVE.Core-2020-009
        Еженедельное обновление Drupal.CVE.Core-2020-009
        1 сентября 2020
      • Еженедельное обновление WP.ElementorPRO.CVE
        Еженедельное обновление WP.ElementorPRO.CVE
        7 мая 2020
      • Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
        Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
        8 апреля 2020
      • Еженедельное обновление WP.AllinOneSEOPack.CVE
        Еженедельное обновление WP.AllinOneSEOPack.CVE
        18 марта 2020
      • Еженедельное обновление WP.FastestCache.CVE
        Еженедельное обновление WP.FastestCache.CVE
        9 марта 2020
      • Еженедельное обновление WP.Slider.CVE
        Еженедельное обновление WP.Slider.CVE
        7 февраля 2020
      • Еженедельное обновление WP.Elementor.2.CVE
        Еженедельное обновление WP.Elementor.2.CVE
        6 февраля 2020
      • Еженедельное обновление версии 3.9.21 Joomla
        Еженедельное обновление версии 3.9.21 Joomla
        5 февраля 2020
      • Еженедельное обновление WP.DatabaseReset.CVE
        Еженедельное обновление WP.DatabaseReset.CVE
        28 января 2020
      • Еженедельное обновление Bitrix.Trojan.11
        Еженедельное обновление Bitrix.Trojan.11
        2 января 2020
      • Еженедельное обновление WP.WooCommerce.CVE
        Еженедельное обновление WP.WooCommerce.CVE
        23 декабря 2019
      • Еженедельное обновление Drupal.CVE.Core-2019-012
        Еженедельное обновление Drupal.CVE.Core-2019-012
        1 октября 2019
      • Magento Guruincsite массовая блокировка сайтов
        Magento Guruincsite массовая блокировка сайтов
        22 октября 2015
      • Еженедельное обновление WP.Loginizer.CVE
        Еженедельное обновление WP.Loginizer.CVE
      • Еженедельное обновление WP.SDownloadMonitor.CVE
        Еженедельное обновление WP.SDownloadMonitor.CVE
      • Еженедельное обновление WP.Hueman.CVE
        Еженедельное обновление WP.Hueman.CVE
      Облако тегов
      WordPress Вирусы на сайте на сайте вирусы Очистить сайт от вирусов Проверить сайт на вирусы проверить сайт на вирусы Удаление вирусов на сайте удаление вирусов на сайте уязвимости на сайте
      Компания
      О компании
      Партнеры
      Отзывы
      Реквизиты
      Вопрос ответ
      Продукты
      Антивирус для сайта
      Хостинг
      Услуги
      Удаление вирусов с сайта
      Обслуживание ПК NEW
      О сервисе
      Прейскурант цен
      Польз. соглашение
      Политика конфид.
      Наши контакты


      +375 (29) 236-68-17
      +375 (29) 228-06-03
      support@stopvirus.by
      Республика Беларусь г. Минск, ул. Герасименко 29
      ©2013-2021 Все права защищены Stopvirus.by.
      Все материалы данного сайта являются объектами авторского права (в том числе дизайн). Запрещается копирование, распространение (в том числе путем копирования на другие сайты и ресурсы в Интернете) или любое иное использование информации и объектов без предварительного согласия правообладателя.
      По всем вопросам пишите на support@stopvirus.by
      • Вконтакте
      • Facebook
      • Twitter
      • Instagram
      • Telegram
      • Viber
      • WhatsApp
      • Яндекс.Дзен