PT-2024-15103 · WordPress · Formidable Forms
Drop
+1
·
Publicado
2024-01-08
·
Atualizado
2024-01-16
·
CVE-2023-6830
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Formidable Forms para o WordPress, versões até a 6.7, inclusive
Descrição
O plugin Formidable Forms para WordPress está vulnerável a injeção de HTML. Essa vulnerabilidade permite que usuários não autenticados injetem código HTML arbitrário nos campos do formulário. Quando os dados do formulário são visualizados por um administrador na página de visualização de entradas, o código HTML injetado é renderizado, podendo levar à alteração da aparência da área de administração ou ao redirecionamento para sites maliciosos.
Recomendações
Para versões até a 6.7, inclusive, atualize para uma versão posterior à 6.7 para resolver o problema. Como solução temporária, considere restringir o acesso à Página de Visualização de Entradas para minimizar o risco de exploração. Além disso, restrinja a capacidade de usuários não autenticados de injetar código HTML em campos de formulário até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Formidable Forms