联系表 7 版本 5.3.2 修补严重漏洞，建议立即更新

Contact Form 7 修补了 5.3.2 版中的一个关键文件上传漏洞，该漏洞由插件作者 Takayuki Miyoshi 今天发布.该插件安装在超过 500 万个 WordPress 网站上.

“在Contact Form 7 5.3.1及更早版本中发现无限制文件上传漏洞，”三好说.“利用这个漏洞，表单提交者可以绕过Contact Form 7的文件名清理，上传一个可以作为脚本文件在主机服务器上执行的文件.

该漏洞由 Astra Security 的 Jinson Varghese Behanan 于 2020 年 12 月 16 日发现，三好在不到 24 小时后发布了修复程序.Behanan 强调了可能利用此漏洞的几种方式:

1. 可能上传 web shell 并注入恶意脚本
2. 如果同一服务器上的网站之间没有容器化，则完全接管网站和服务器
3. 破坏网站

Astra Security 计划在插件的用户群有更多时间更新到修补版本后的两周内发布有关该漏洞的更多详细信息.

5.3.2 版本从文件名中删除控制、分隔符和其他类型的特殊字符，以修复无限制文件上传漏洞.在发布时，今天已经下载了超过一百万个联系表 7 更新.大约 20% 的插件用户群受到该漏洞的保护.现在它已被修补并发布，未更新的 Contact Form 7 用户将面临更大的漏洞被利用的风险.