PT-2024-16630 · WordPress · Contact Form 7 Email Add On
Le Ngoc Anh
+2
·
Publicado
2024-11-20
·
Atualizado
2024-11-26
·
CVE-2024-10898
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Contact Form 7 Email Add-on para versões do WordPress até a 1.9, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior incluam e executem arquivos PHP arbitrários no servidor. Isso é possível por meio da função
cf7 email add on add admin template(), possibilitando contornar controles de acesso, obter dados confidenciais ou executar código em casos em que arquivos PHP possam ser carregados e incluídos.Recomendações
Para versões até a 1.9, inclusive, considere desativar a função
cf7 email add on add admin template() como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e arquivos PHP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contact Form 7 Email Add On