PT-2024-38317 · WordPress · Forminator
Sean Murphy
+1
·
Publicado
2024-08-02
·
Atualizado
2024-08-13
·
CVE-2024-7389
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Forminator para o WordPress, versões até a 1.29.1, inclusive
Descrição
A vulnerabilidade permite que invasores não autenticados extraiam a chave de API de desenvolvedor da integração com o HubSpot, possibilitando alterações não autorizadas na integração do plugin com o HubSpot. Isso também pode levar à exposição de informações de identificação pessoal dos usuários do plugin que utilizam a integração com o HubSpot. A vulnerabilidade está relacionada ao arquivo
class-forminator-addon-hubspot-wp-api.php.Recomendações
Para versões até a 1.29.1, inclusive: aplique a correção imediatamente e altere todas as credenciais expostas. Como solução temporária, considere restringir o acesso ao arquivo
class-forminator-addon-hubspot-wp-api.php até que uma correção esteja disponível.Exploit
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Forminator