This page is also available in English.
Se ha publicado la versión 5.3.2 de Contact Form 7. Esta es una versión de seguridad y mantenimiento urgente. Te recomendamos encarecidamente que actualices de inmediato.
Se ha encontrado una vulnerabilidad en la subida de archivos sin restricciones en la versión 5.3.1 de Contact Form 7 y versiones anteriores. Usando esta vulnerabilidad, un usuario puede enviar un mensaje desde un formulario evitando el saneado de los nombres de archivos de Contact Form 7 y subir un archivo que pueda ser ejecutado como un script en el servidor del alojamiento. Este problema ha sido reportado por Jinson Varghese Behanan de Astra Security.
Necesita: WordPress 5.4 o superior
Probado hasta: WordPress 5.6
» Descarga el plugin «Contact Form 7» desde WordPress.org
Cambios principales
- Elimina el control, separador y otros tipos de caracteres especiales del nombre de archivo para corregir el problema de la vulnerabilidad de subida de archivos sin restricción.
- Akismet: establece el formato de fecha/hora ISO 8601 para el parámetro
comment_date_gmt
.
Puedes explorar la lista completa de cambios en GitHub.