PT-2024-27399 · WordPress · Advanced Contact Form 7 Db
Tim Coen
·
Publicado
2024-06-11
·
Atualizado
2024-06-11
·
CVE-2024-3723
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Advanced Contact Form 7 DB para o WordPress, versões até a 2.0.2, inclusive
Descrição
A vulnerabilidade permite que invasores não autenticados extraiam dados confidenciais enviados por meio do plugin através de um formulário, devido à exposição de informações confidenciais. Isso é possível através do diretório wp-content/uploads/advanced-cf7-upload.
Recomendações
Para versões até a 2.0.2, inclusive, considere restringir o acesso ao diretório wp-content/uploads/advanced-cf7-upload para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advanced Contact Form 7 Db