نموذج الاتصال 7 نقاط ضعف في +5 مليون موقع


تم اكتشاف ثغرة أمنية في نموذج الاتصال 7 تسمح للمهاجمين بتحميل البرامج النصية الضارة. أصدر ناشرو نموذج الاتصال 7 تحديثًا لتصحيح الثغرة الأمنية.

ضعف تحميل الملف غير المقيد

تتمثل إحدى نقاط الضعف في تحميل ملف غير مقيد في مكون WordPress الإضافي عندما يسمح المكون الإضافي للمهاجم بتحميل قشرة ويب (نص خبيث) يمكن استخدامه بعد ذلك للسيطرة على موقع ، والتلاعب بقاعدة بيانات ، وما إلى ذلك.

غلاف الويب عبارة عن نص برمجي ضار يمكن كتابته بأي لغة ويب يتم تحميلها على موقع ضعيف ومعالجته تلقائيًا واستخدامه للوصول وتنفيذ الأوامر ومعالجة قاعدة البيانات وما إلى ذلك.

يستدعي نموذج الاتصال 7 آخر تحديث له “الإفراج العاجل عن الأمن والصيانة.

حسب نموذج الاتصال 7:

“تم العثور على ثغرة أمنية في تحميل ملف غير مقيد في نموذج الاتصال 7 5.3.1 والإصدارات السابقة.

باستخدام هذه الثغرة الأمنية ، يمكن لمقدم النماذج تجاوز تعقيم اسم ملف نموذج الاتصال 7 وتحميل ملف يمكن تشغيله كملف نصي على الخادم المضيف. “

تم نشر وصف أكثر تفصيلاً للثغرة الأمنية في صفحة مستودع المكونات الإضافية لنموذج الاتصال 7 WordPress.

فيما يلي التفاصيل الإضافية حول الثغرة الأمنية التي تمت مشاركتها على مستودع المكونات الإضافية الرسمية لـ WordPress لنموذج الاتصال 7:

“يزيل عنصر التحكم والفاصل وأنواع الأحرف الخاصة الأخرى من اسم الملف لمعالجة مشكلة عدم حصانة تحميل الملف غير المقيد.”

لقطة شاشة لوصف تحديث البرنامج المساعد WordPress

لقطة شاشة لسجل تغيير نموذج الاتصال 7

لقطة الشاشة أعلاه مأخوذة من وصف “مزيد من المعلومات” من نموذج الاتصال 7 الذي يتم عرضه عند تحديث المكون الإضافي من تثبيت WordPress. تتطابق الصياغة مع ما تم نشره في مستودع WordPress الرسمي للمكوِّن الإضافي.

ميلادي

أكمل القراءة أدناه

تعقيم اسم الملف

يعد تعقيم اسم الملف إشارة إلى وظيفة مرتبطة بالبرامج النصية التي تعالج التحميلات. تم تصميم وظائف تعقيم اسم الملف للتحكم في أنواع الملفات (أسماء الملفات) التي يتم تحميلها عن طريق تقييد أنواع معينة من الملفات. يمكن أن يتحكم تنقية اسم الملف أيضًا في مسارات الملفات.

تعمل وظيفة معقم اسم الملف عن طريق حظر أسماء ملفات معينة و / أو السماح فقط بقائمة مقيدة بأسماء الملفات.

في حالة نموذج جهة الاتصال 7 ، كانت هناك مشكلة تتعلق بتعقيم اسم الملف تسببت في ظهور حالة تم فيها السماح بأنواع معينة من الملفات الخطرة بدون قصد.

تم إصلاح الضعف في نموذج الاتصال الإصدار 7.5.3.2

تم إصلاح مشكلة عدم حصانة تعقيم اسم الملف في نموذج الاتصال 7 ، الإصدار 7 5.3.2.

تعتبر جميع إصدارات نموذج الاتصال 7 من 7 5.3.1 والإصدارات الأقدم عرضة للخطر ويجب تحديثها على الفور.

ميلادي

أكمل القراءة أدناه

الاقتباس

اقرأ الإعلان في نموذج الاتصال 7

نموذج الاتصال 7 5.3.2

إقرأ ال نموذج الاتصال 7 سجل التغيير



Related Posts

اترك رد