Informazioni sul CVE-2024-11038
WPB Popup for Contact Form 7 – Showing The Contact Form 7 Popup on Button Click – CF7 Popup <= 1.7.5 – Unauthenticated Arbitrary Shortcode Execution via wpb_pcf_fire_contact_form
CWE ID: CWE-94
Base Score (CVSS): N/A
CVE: CVE-2024-11038
Descrizione: “Il plugin WPB Popup per il Formato Contatto 7 – Mostra il Formato Contatto 7 Popup quando si clicca sul pulsante – CF7 Popup è vulnerabile all’esecuzione di codice corto-codice arbitrario tramite l’azione wpb_pcf_fire_contact_form AJAX in tutte le versioni fino a, e inclusa, 1.7.5. Questo è dovuto al software che permette agli utenti di eseguire un’azione che non convalida correttamente un valore prima di eseguire do_shortcode. Ciò rende possibile agli attaccanti non autenticati di eseguire brevi-codici arbitrari.”
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://www.wordfence.com/threat-intel/vulnerabilities/id/a7faa800-3b29-4b79-8b94-1e7985acb50d?source=cve
- https://plugins.trac.wordpress.org/browser/wpb-popup-for-contact-form-7/tags/1.7.4/includes/class.ajax.php#L34
- https://wordpress.org/plugins/wpb-popup-for-contact-form-7/#developers
- https://plugins.trac.wordpress.org/changeset/3188864/
- https://gist.github.com/wpbean/1a5abfea883621b4e150eab1362a420f
Prodotti interessati
- wpbean – WPB Popup for Contact Form 7 – Showing The Contact Form 7 Popup on Button Click – CF7 Popup
Relazioni con altri prodotti
Produttore:wpbean
Prodotto: WPB Popup for Contact Form 7 – Showing The Contact Form 7 Popup on Button Click – CF7 Popup
Anno: 2024
CWE: CWE-94
CVSS: 0.0