This page is also available in English.
Ya está disponible la versión 5.0.4 de Contact Form 7. Esta es una versión de seguridad y mantenimiento y te recomendamos encarecidamente que actualices de inmediato.
Se encontró una vulnerabilidad de escalada de privilegios en la versión 5.0.3 y versiones anteriores de Contact Form 7. Al utilizar esta vulnerabilidad, un usuario que haya accedido con el perfil Colaborador puede potencialmente editar formularios de contacto, a los que solo los usuarios con perfil de Administrador y Editor pueden acceder por defecto. Este problema ha sido informado por Simon Scannell de RIPS Technologies.
Para minimizar el daño de posibles ataques que utilicen esas vulnerabilidades, Contact Form 7 v5.0.4, y superiores, restringirán la función de adjuntar archivos locales. Más concretamente, ya no podrás especificar una ruta de archivo absoluta que se refiera a un archivo situado fuera del directorio wp-content. Aún puedes especificar archivos dentro del directorio wp-content con rutas de archivo relativas o absolutas, por lo que solo necesita cambiar la ubicación de los archivos adjuntos.
Necesita: WordPress 4.8 o superior
Probado hasta: WordPress 4.9.8
» Descarga el plugin «Contact Form 7» desde WordPress.org
Registro de cambios
- Especifica el argumento
capacity_type
explícitamente en la llamadaregister_post_type()
para solucionar el problema de vulnerabilidad de escalada de privilegios. - Adjunto de archivo local: no permite especificar rutas de archivo absolutas que se refieran a archivos fuera del directorio wp-content.
- Validador de configuración: añade un elemento de prueba para detectar ajustes de archivos adjuntos no válidos.
- Corrige un error en la función de reserva de JavaScript para navegadores heredados que no admiten el atributo de marcador de posición HTML5.
- Casilla de verificación de aceptación: desactiva la característica
do-not-store
de la etiqueta de formulario.