https://nvd.nist.gov/vuln/detail/CVE-2020-35489
2 上記が困難な場合は脆弱性のある該当のファイルに手作業でパッチを当てます
Contact Form7開発者の方のプログラム修正履歴を見ると、下記の修正が脆弱性をふさぐと思われます。https://github.com/takayukister/contact-form-7/commit/2e45060ff0b4610e9665d996bc91f725ff5fc381
wp-content/plugins/contact-form-7/includes/formatting.php
のwpcf7_antiscript_file_name 関数の下の$filenameが一度basename関数を通った後に$filename = preg_replace( '/[\pC\pZ]+/i', '', $filename ); //この行を追加というように上記1行を追加してください。
[緊急・対処方法] Contact Form 7 v5.3.1以下にファイルアップロードの脆弱性 | ワードプレスドクター
function wpcf7_antiscript_file_name( $filename ) { $filename = basename( $filename ); $filename = preg_replace( '/[\r\n\t -]+/', '-', $filename ); $filename = preg_replace( '/[\pC\pZ]+/iu', '', $filename ); $parts = explode( '.', $filename );