EleForms – 一体化表单集成,包括 Elementor <= 2.9.9.9 的 DB - 跨站请求伪造 (CVE-2024-6628)
CVE编号
CVE-2024-6628
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-16
漏洞描述
EleForms插件(WordPress中用于Elementor的集成表单插件)存在跨站请求伪造(CSRF)漏洞,该漏洞存在于所有版本,包括最高版本2.9.9.9。该漏洞是由于删除表单提交时的nonce验证缺失或错误导致的。这使得未经身份验证的攻击者可以通过伪造请求删除表单提交成为可能,只要他们能够诱骗网站管理员执行点击链接等操作即可。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论