阿里云漏洞库

严重 WordPress插件Rocklobster Contact Form 7 < 5.3.2 任意文件上传漏洞

CVE编号

CVE-2020-35489

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2020-12-18

该漏洞EXP已公开传播，漏洞利用成本极低，建议您立即关注并修复。

漏洞描述

The CVE-2020-35489 is discovered in the WordPress plugin Contact Form 7 5.3.1 and older versions. By exploiting this vulnerability, attackers could simply upload files of any type, bypassing all restrictions placed regarding the allowed upload-able file types on a website.

解决建议

升级至5.3.2及以后的版本。

参考链接
https://contactform7.com/2020/12/17/contact-form-7-532/
https://wordpress.org/plugins/contact-form-7/#developers
https://wpscan.com/vulnerability/10508
https://www.getastra.com/blog/911/plugin-exploit/contact-form-7-unrestricted-...
https://www.jinsonvarghese.com/unrestricted-file-upload-in-contact-form-7/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	rocklobster	contact_form_7	*		Up to (excluding) 5.3.2

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

EXP 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-434	危险类型文件的不加限制上传

严重 WordPress插件Rocklobster Contact Form 7 < 5.3.2 任意文件上传漏洞

漏洞描述

解决建议

参考链接

受影响软件情况