PT-2024-16385 · WordPress · Funnelforms
Peter Thaleikis
·
Publicado
2024-12-04
·
Atualizado
2024-12-09
·
CVE-2024-10587
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Formulário de contato interativo e criador de formulários em várias etapas com editor de arrastar e soltar – Funnelforms Free, plugin para o WordPress até a versão 3.7.4.1, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior injetem um objeto PHP por meio da desserialização de entradas não confiáveis. Não há nenhuma cadeia POP conhecida presente no software vulnerável. No entanto, se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.
Recomendações
Para versões até e incluindo a 3.7.4.1, atualize para uma versão superior à 3.7.4.1 para resolver o problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Funnelforms