PT-2024-39587 · WordPress · The Forminator Forms
Vijaysimha
+1
·
Publicado
2024-10-16
·
Atualizado
2024-10-18
·
CVE-2024-9352
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para o WordPress, nas versões até a 1.35.1, inclusive
Descrição
O problema está relacionado a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função
create module do formulário personalizado. Isso permite que invasores não autenticados criem rascunhos de formulários por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até a 1.35.1, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função
create module.Como solução temporária, considere restringir o acesso ao criador de formulários personalizados para minimizar o risco de exploração.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Forminator Forms