CVE-2024-4157

O plugin “Contact Form Plugin” da Fluent Forms para o plugin “Quiz, Survey, and Drag & Drop WP Form Builder” para versões do WordPress até a 5.1.15, inclusive

A vulnerabilidade está relacionada à injeção de objetos PHP por meio da desserialização de entradas não confiáveis na função extractDynamicValues. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem um objeto PHP. Se houver uma cadeia POP por meio de um plugin ou tema adicional, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código. A exploração bem-sucedida requer que o invasor tenha permissões de “Visualizar formulário” e “Gerenciar formulário”.

Para versões até a 5.1.15, inclusive, considere desativar a função extractDynamicValues como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao plugin para minimizar o risco de exploração, garantindo que apenas usuários confiáveis tenham permissões de “Visualizar Formulário” e “Gerenciar Formulário”. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.