PT-2024-18833 · WordPress · Ninja Forms Contact Form
Kun_19
+1
·
Publicado
2024-03-28
·
Atualizado
2024-03-29
·
CVE-2024-2113
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
O plugin Ninja Forms Contact Form – The Drag and Drop Form Builder for WordPress para versões do WordPress até a 3.8.0, inclusive
Descrição
O problema está relacionado a Cross-Site Request Forgery devido à falta ou incorreção na validação do nonce na ação AJAX
nf download all subs. Isso permite que invasores não autenticados acionem a exportação do envio de um formulário para um local acessível ao público, induzindo um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até a 3.8.0, inclusive, atualize para uma versão que inclua a correção para o problema de validação de nonce na ação AJAX
nf download all subs.Como solução temporária, considere restringir o acesso à ação AJAX
nf download all subs para impedir exportações não autorizadas até que um patch esteja disponível.Correção
XSS
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ninja Forms Contact Form