PT-2025-47702 · WordPress · Wordpress+1
Moose Love
·
Publicado
2025-11-21
·
Atualizado
2025-11-26
·
CVE-2025-13159
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Plugin Flo Forms – Easy Drag & Drop Form Builder para WordPress, versões até e incluindo a 1.0.43
Descrição
O plugin Flo Forms para WordPress é vulnerável a Cross-Site Scripting Armazenado por meio de uploads de arquivos SVG. O plugin permite o upload de arquivos SVG por meio de um endpoint AJAX não autenticado,
flo form submit, sem validação adequada do conteúdo do arquivo. Isso permite que atacantes não autenticados façam upload de arquivos SVG maliciosos contendo JavaScript. Quando um administrador visualiza o arquivo carregado dentro da interface de administração do WordPress, o JavaScript malicioso é executado, podendo levar ao comprometimento total do site.Recomendações
Atualize o plugin Flo Forms – Easy Drag & Drop Form Builder para uma versão superior à 1.0.43.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flo Forms
Wordpress