Обновления каким образом выйдут — вместе с обновленным Вордпресс?
Ух, сейчас мой хостер как напугал письмом про эту уязвимость!
У кучи народа в настройках CF7 по старинке стоит От кого: [your-name] <[your-email]>
В свежих версиях CF7 нельзя подставить [your-email]. Только явное указание мыла, причём только в домене сайта.
-
Ответ изменён 7 лет, 4 месяца назад пользователем
SeVlad.
Модератор
Yui
(@fierevere)
永子
Обновления каким образом выйдут — вместе с обновленным Вордпресс?
да, 4.7.1 и для более старых веток тоже
если автообновление не отключали, то обновится автоматически
Ух, сейчас мой хостер как напугал письмом про эту уязвимость!
https://www.youtube.com/watch?v=H5O02-6L3xo 😀
А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)
Модератор
Yui
(@fierevere)
永子
А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)
пока не понятно кого это может коснуться
стоит бояться если у вас есть контактная форма которая в качестве исходного (mail from:) адреса принимает параметры от посетителя
чистый WP от посетителей для сброса пароля и прочего исходящий адрес эл.почты не принимает
Модератор
Yuri
(@yube)
А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)
Не только. Но тех, у кого допотопные настройки CF7, точно касается.
А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)
В большей мере это коснётся обладателей всяких «премиальных» коммерческих тем, где встроена простая форма обратной связи. подставляющая в form мыло отправителя.
Или же плагины и самописные формы, которые так же работают.
А тех кто использует современный CF7 (и др плагины, с такими ограничениями) как раз в безопасности.
-
Ответ изменён 7 лет, 4 месяца назад пользователем SeVlad.
Модератор
Yui
(@fierevere)
永子
вообще использовать mail from: на своем сайте … в реалиях DKIM, SPF и прочих DMARC-ов….. нецелесообразно и даже глупо
нормальная форма должна использовать reply to:
и второй момент, Давид Голански достаточно нехорошо что ли написал об уязвимости… Прочитаешь — так страшно становится, деталей нет, всё дырявое, все страшно, чуть ли не полинтернета сломать можно. Но нужно учесть что PHPMailer уже пропатчили уязвимость и ждать пока детали опубликует Давид вовсе не обязательно
http://paste.debian.net/904782/ с патчем все более менее становится на свои места и CVE-2016-10033 уже не кажется такой уж страшно опасной. Да, жертвы конечно будут, но не столь массовые
А если у меня на странице контактов всего лишь прописана ссылка вида mailto:site@site.ru? То и бояться нечего? 🙂
Модератор
Yui
(@fierevere)
永子
всего лишь прописана ссылка вида mailto:site@site.ru? То и бояться нечего?
UGGI только сегодня 5990 рублей!
вас подпишут на спам )) но не взломают
кстати, а какая у разработчиков стратегия обновления входящих в движок компонентов? ведь php mailer 5.2.14 вышел еще 1 ноября 2015 года.
Модератор
Yui
(@fierevere)
永子
5.2.14 маркирован как «стабильная версия»
https://github.com/PHPMailer/PHPMailer/tree/5.2-stable
хотя конечно в свете последних уязвимостей, это разработчикам phpmailer надо пересматривать политику.
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md тут в принципе никаких интересных и важных изменений после 5.2.14 нет
Модератор
Yui
(@fierevere)
永子
https://core.trac.wordpress.org/ticket/37210#comment:14
WordPress Core (and as a result, anything utilising wp_mail()) are unaffected
vulnerabilities require the usage of a PHPMailer feature which WordPress & wp_mail() does not use. This applies to WordPress 4.7, 4.6.x, and all previous secure versions.
вообщем все как и написано выше, не так легко вскрыть проблему, если только не использовать что-то реально проблемное из плагинов, что не толкьо позволяет указывать исходящий адрес, но и работает не через wp_mail()
Модератор
Yui
(@fierevere)
永子
