CVE-2024-11188丨Formidable Forms – 联系表单插件、调查、测验、付款、计算器表单和自定义表单生成器 <= 6.16.1.2 - 通过自定义 HTML 表单参数反映跨站点脚本

2024年11月25日 160点热度 0人点赞 0条评论

Formidable Forms – 联系表单插件、调查、测验、付款、计算器表单和自定义表单生成器 <= 6.16.1.2 - 通过自定义 HTML 表单参数反映跨站点脚本 (CVE-2024-11188)

CVE编号

CVE-2024-11188

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-23

漏洞描述

WordPress中的Formidable Forms插件（包括联系表单插件、调查插件、测验插件、支付插件、计算器表单和自定义表单构建器插件）在版本6.16.1.2及以前存在基于POST的反射跨站脚本漏洞。该漏洞存在于自定义HTML表单参数中，由于输入清理和输出转义不足，未经验证的攻击者可以在页面中注入任意网页脚本，如果攻击者能够成功诱导用户执行某个操作（例如点击链接），这些脚本就会执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/formidable/tags/6.16/classes/helpe...
https://www.wordfence.com/threat-intel/vulnerabilities/id/da84aa80-7ef6-4846-...

CVE-2024-11188丨Formidable Forms – 联系表单插件、调查、测验、付款、计算器表单和自定义表单生成器 <= 6.16.1.2 - 通过自定义 HTML 表单参数反映跨站点脚本

Formidable Forms – 联系表单插件、调查、测验、付款、计算器表单和自定义表单生成器 <= 6.16.1.2 - 通过自定义 HTML 表单参数反映跨站点脚本 (CVE-2024-11188)

漏洞描述

解决建议

参考链接

文章评论