CVE-2024-10521丨Cimatti 的 WordPress 联系表单 <= 1.9.2 - 通过 process_bulk_action 函数进行跨站请求伪造

2024年11月28日 144点热度 0人点赞 0条评论

Cimatti 的 WordPress 联系表单 <= 1.9.2 - 通过 process_bulk_action 函数进行跨站请求伪造 (CVE-2024-10521)

CVE编号

CVE-2024-10521

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-27

漏洞描述

WordPress中的Cimatti插件的WordPress联系表格功能存在跨站请求伪造漏洞，该漏洞存在于所有版本，包括版本1.9.2。这是由于process_bulk_action函数缺少或不正确的nonce验证导致的。这使得未经验证的攻击者能够通过伪造请求删除表单，前提是他们能够诱骗网站管理员执行点击链接等操作。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/contact-forms/trunk/accua-forms-li...
https://plugins.trac.wordpress.org/browser/contact-forms/trunk/accua-forms-su...
https://plugins.trac.wordpress.org/changeset/3196728/
https://wordpress.org/plugins/contact-forms/#developers
https://www.wordfence.com/threat-intel/vulnerabilities/id/f86e8ccb-a865-4da5-...

CVE-2024-10521丨Cimatti 的 WordPress 联系表单 <= 1.9.2 - 通过 process_bulk_action 函数进行跨站请求伪造

Cimatti 的 WordPress 联系表单 <= 1.9.2 - 通过 process_bulk_action 函数进行跨站请求伪造 (CVE-2024-10521)

漏洞描述

解决建议

参考链接

文章评论