PT-2024-15732 · 10Web · The Form Maker
David Jones
+1
·
Publicado
2024-01-26
·
Atualizado
2024-02-01
·
CVE-2024-0667
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
The Form Maker by 10Web – plugin para WordPress “Mobile-Friendly Drag & Drop Contact Form Builder” para versões até a 1.15.21, inclusive
Descrição
A vulnerabilidade se deve à falta ou à validação incorreta do nonce na função
execute, possibilitando que invasores não autenticados executem métodos arbitrários na classe BoosterController por meio de uma solicitação falsificada. Isso pode ocorrer se os invasores conseguirem induzir um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até e incluindo a 1.15.21, considere desativar a função
execute na classe BoosterController até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à classe BoosterController para minimizar o risco de execução de métodos arbitrários. Evite usar a função execute até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
The Form Maker