PT-2021-15822 · WordPress · Redirection For Contact Form 7
Chloe Chamberland
·
Publicado
2021-05-14
·
Atualizado
2021-05-17
·
CVE-2021-24282
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Redirection for Contact Form 7, versões anteriores à 2.3.4
Descrição
A vulnerabilidade permite que qualquer usuário autenticado, como um assinante, utilize várias ações AJAX dentro do plugin. Isso permite que um invasor execute diversas ações, por exemplo, usando
wpcf7r reset settings para redefinir as configurações do plugin ou wpcf7r add action para adicionar ações a um formulário.Recomendações
Para versões anteriores à 2.3.4, atualize para a versão 2.3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às ações AJAX
wpcf7r reset settings e wpcf7r add action para impedir modificações não autorizadas.Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redirection For Contact Form 7