آسیب پذیری بارگذاری پرونده با فرم تماس 7
فرم تماس 7 مسلماً پرکاربردترین افزونه وردپرس ، یک وصله امنیتی برای آسیب پذیری آپلود فایل بدون محدودیت در تمام نسخه های 5.3.1 و پایین تر منتشر کرد. بیشتر از 5 میلیون سایت افزونه فرم تماس 7 را نصب کرده اند.
یکی از ویژگی های مهم فرم تماس 7 امکان اجازه بارگذاری فایل است. با اینکه نام فایل های در حال بارگذاری در طی فرآیند بارگذاری بررسی می شوند، بررسی نشان می دهد که یک مهاجم برای دورزدن برخی از موارد محافظتی این افزونه، می تواند هنگام بارگذاری فایلها توسط کاربر، نویسه های کنترل یا جداکننده های نامرئی را به فایل اضافه کند.
چند مورد در فرم تماس 7 وجود دارد که باعث سخت شدن اکسپلویت می شود:
- هر فایل بارگذاری شده به طور موقت در پوشه ای با نامی تصادفی ذخیره می شود و بلافاصله پس از ارسال فایل به فایل پردازش کننده فرم، حذف می شود. این بدان معنی است که مهاجم باید بتواند نام پوشه تصادفی را پیدا کند، که احتمالاً نیاز به فعال بودن Directory Indexing دارد و آنها باید این کار را قبل از حذف فایل تصادفی و پرونده بارگذاری شده انجام دهند.
- فرم تماس 7 از یک پرونده htaccess. برای جلوگیری از دسترسی مستقیم به فایل های بارگذاری شده برای اجرای کد استفاده می کند. اگرچه این مورد فقط در سایتهای دارای Apache کار می کند ، اما از اجرای هرگونه فایل بارگذاری شده جلوگیری می کند مگر اینکه آسیب پذیری جداگانه ای وجود داشته باشد.
- نام فایل باید به یک پسوند پرونده قابل قبول ختم شود.
اگر از افزونه فرم تماس 7 بدون قابلیت بارگذاری فایل استفاده می کنید ، سایت شما در برابر مهاجماتی که قصد استفاده از این آسیب پذیری را دارند آسیب پذیر نیست. با این وجود، همچنان برای اطمینان از امنیت سایت وردپرسی خود ، بروزرسانی فوری را به شما پیشنهاد می دهیم.
تمام سایت های دارای وردفنس، از جمله افرادی که وردفنس پرمیوم را نصب کرده اند و همچنین آنهایی که هنوز نسخه رایگان را اجرا می کنند ، توسط فایروال وردفنس در برابر این آسیب پذیری محافظت می شوند.
درضمن می توانید برای افزایش امنیت وردپرس، مقاله آموزش افزایش امنیت وردپرس را مطالعه کنید.
درباره اسماعیل منصوری
از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی
نوشتههای بیشتر از اسماعیل منصوری
دیدگاهتان را بنویسید