Sudobash

**Nome do software vulnerável e versões afetadas** The Form Maker by 10Web – plugin para WordPress “Mobile-Friendly Drag & Drop Contact Form Builder” para versões até a 1.15.21, inclusive **Descrição** A vulnerabilidade se deve à falta ou à validação incorreta do nonce na função `execute`, possibilitando que invasores não autenticados executem métodos arbitrários na classe `BoosterController` por meio de uma solicitação falsificada. Isso pode ocorrer se os invasores conseguirem induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 1.15.21, considere desativar a função `execute` na classe `BoosterController` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à classe `BoosterController` para minimizar o risco de execução de métodos arbitrários. Evite usar a função `execute` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.