Розробники популярного плагіна Contact Form 7 для WordPress, який встановлений більш ніж на 5 000 000 сайтів, випустили виправлення для критичної уразливості.
Проблема дозволяла зловмисникам обдурити захисні механізми, що відповідають за очищення імен файлів при завантаженні. В результаті хакери отримували можливість завантажити шкідливий файл з довільним кодом на уразливий сервер, а потім запустити його як скрипт, щоб виконати код, прихований всередині.
Баг був виявлений фахівцями компанії Astra Security, під час аудиту, який ті проводили для одного зі своїх клієнтів. Уразливість усунули в версії 7 5.3.2, і тепер розробники настійно рекомендують всім адміністраторам сайтів оновити плагін якомога швидше.
Журналісти видання Bleeping Computer пояснюють, що баг виникав через файлу includes / formatting.php, який є частиною Contact Form 7. В уразливих версіях плагін не видаляв спеціальні символи з завантажених файлів. Через це атакуючий мав можливість завантажити на сервер файл з подвійним розширенням, наприклад, “abc.php .jpg”.
У цьому прикладі роздільником між розширеннями виступає символ табуляції (\ t), і для клієнтського інтерфейсу плагіна такий файл буде виглядати як звичайне зображення у форматі .jpg. Однак під час завантаження на сервер Contact Form 7 здійснить парсинг імені файлу, відкине зайве розширення, і на сервер потрапить файл abc.php, тобто PHP-скрипт, до якого потім зможе отримати доступ зловмисник (для виконання довільного коду).
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як безпечно робити покупки в Інтернеті на новорічні свята? Поради
Як безпечно організовувати і брати участь в онлайн-зустрічах?
Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ
Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.
Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.
До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion
Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.