WordPress 插件(Drag and Drop File Upload Contact Form 版本低于1.3.3.3)
【摘要】 WordPress 插件(Drag and Drop File Upload Contact Form 版本低于1.3.3.3)导致远程代码执行漏洞
一、概要
近日华为云监测到某研究者发布WordPress远程代码执行漏洞POC,当用户使用Contact Form 7插件和特定版本的Drag and Drop File Upload Contact Form插件时,可导致远程代码执行漏洞。
华为云提醒使用WordPress的用户及时安排自检并做好安全加固。
详情请参考链接:
https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-contact-form-7/#developers
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
此漏洞影响所有安装WordPress并且同时启用Contact Form 7插件和Drag and Drop File Upload Contact Form插件,并且Drag and Drop File Upload Contact Form插件版本小于等于1.3.3.2的用户。
四、漏洞处置
目前,官方已发布新的插件版本修复了该漏洞,请受影响的用户升级到安全版本(1.3.3或更高版本):
最新版本下载地址:https://downloads.wordpress.org/plugin/drag-and-drop-multiple-file-upload-contact-form-7.zip
华为云WAF支持PHP文件上传检测,建议使用WordPress的华为云WAF用户开启Web基础防护中Webshell检测,设置拦截模式,并将设置防护等级为严格。
注:修复漏洞前请将资料备份,并进行充分测试。
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)