PT-2024-37168 · WordPress · Conditional Fields For Contact Form 7
Marco Wotschka
·
Publicado
2024-07-20
·
Atualizado
2024-07-22
·
CVE-2024-5804
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Plugin Conditional Fields for Contact Form 7 para versões do WordPress até a 2.4.13, inclusive
Descrição:
O problema está relacionado a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função
wpcf7cf admin init. Isso permite que invasores não autenticados redefinam as configurações do plugin por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.Recomendações:
Para versões até a 2.4.13, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função
wpcf7cf admin init. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Conditional Fields For Contact Form 7