PT-2024-37757 · WordPress · Eleforms
Lucio Sá
·
Publicado
2024-11-15
·
Atualizado
2025-03-31
·
CVE-2024-6628
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
EleForms – All In One Form Integration including DB for Elementor, plugin para WordPress, versões até e incluindo a 2.9.9.9
Descrição
O problema está relacionado a Cross-Site Request Forgery devido à falta ou à validação incorreta do nonce ao excluir envios de formulários. Isso permite que invasores não autenticados excluam envios de formulários por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação específica, como clicar em um link.
Recomendações
Para versões até e incluindo a 2.9.9.9, atualize para uma versão que inclua a validação adequada do nonce para prevenir ataques de falsificação de solicitação entre sites. Como solução temporária, considere restringir o acesso à funcionalidade de exclusão de envios de formulários para minimizar o risco de exploração.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eleforms