OpenForum RSS: Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок https://opennet.ru/openforum/vsluhforumID3/122713.html В WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, выявлена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54281<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (srgazh) https://opennet.ru/openforum/vsluhforumID3/122713.html#78 Sun, 20 Dec 2020 16:19:14 GMT Оооо да!<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (InuYasha) https://opennet.ru/openforum/vsluhforumID3/122713.html#77 Sun, 20 Dec 2020 08:27:16 GMT Что !так с седьмым?<br>Говорят, там даже интеграцию с LDAP завезли.<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (InuYasha) https://opennet.ru/openforum/vsluhforumID3/122713.html#76 Sun, 20 Dec 2020 08:23:17 GMT Ты просто не понимаешь скромности анонимов.<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (Аноним) https://opennet.ru/openforum/vsluhforumID3/122713.html#75 Sun, 20 Dec 2020 02:10:51 GMT это потому, что на безопасном попыхе, с растом так же будет.<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (unuser) https://opennet.ru/openforum/vsluhforumID3/122713.html#74 Sat, 19 Dec 2020 20:23:19 GMT Это если не использовать дырявый сабж, то за использование при обработке пользовательских запросов mysql_ и mysqli_, место pdo, сечь розгами. Да и в wordpress никто не запрещает, вместо wpdb использовать pdo, обращаясь к бд напрямую, правда, с потерей некоторой функциональности.<br>А для сабжа есть wpdb::prepare(...) и кто не использует, тот сам себе злобный Буратино.<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (Аноним Анонимович Анонимов) https://opennet.ru/openforum/vsluhforumID3/122713.html#73 Sat, 19 Dec 2020 18:17:24 GMT Во-первых, вы изначально подошли к вопросу неправильно. Сами себя озадачиваете, а как быть в ситуации с пробелами или слешами. Вами допущена уже на начальном этапе ошибка проектирования. В комментариях верно написали, что файлам стоит присваивать хэш-сумму вместо имени, как вариант отличное решение. Если хотите использовать условно персидский язык или эмоджи в именах файлов - фильтруйте допустимые символы в именах файлов соответствующими диапазонами unicode.<br><br>Во-вторых, озвученный вами функционал не является чем-то сложным. Через предопределённую константу PHP_OS определяем платформу switch(PHP_OS) case "WINNT", case "Linux"... Как определили платформу preg_replace(" здесь шаблон ", " заменяем или вырезаем ", $filename).<br><br>В-третьих, можете почитать wordpress code reference. Там есть, например, вот такая функция https://developer.wordpress.org/reference/functions/sanitize_file_name/<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (Нате) https://opennet.ru/openforum/vsluhforumID3/122713.html#72 Sat, 19 Dec 2020 18:07:52 GMT 5,000,000,000 ?! Больше половины населения планеты?<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (Led) https://opennet.ru/openforum/vsluhforumID3/122713.html#71 Sat, 19 Dec 2020 17:06:19 GMT &gt;не успел пострадать<br><br>жаль...<br> Уязвимость в WordPress-дополнении Contact Form 7, насчитываю... (Корец) https://opennet.ru/openforum/vsluhforumID3/122713.html#70 Sat, 19 Dec 2020 15:19:49 GMT Постоянно идут новости про уязвимости WordPress. С ним определённо что-то не так...<br>