Vulnerabilidad en Formidable Forms – Contact Form, Survey, Quiz, Payment, Calculator Form & Custom Form Builder complemento para WordPress (CVE-2023-6842)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
09/01/2024
Última modificación:
16/01/2024
Descripción
Formidable Forms – Contact Form, Survey, Quiz, Payment, Calculator Form & Custom Form Builder complemento para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la etiqueta name field y el parámetro description field label en todas las versiones hasta 6.7 (incluida) debido a una debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso a nivel de administrador, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. De forma predeterminada, esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html. Sin embargo, en la configuración formidable, los administradores pueden extender la creación de formularios, la eliminación y otros permisos de administración a otros tipos de usuarios, lo que hace posible que esta vulnerabilidad sea explotada por tipos de usuarios de nivel inferior siempre que se les hayan otorgado los permisos adecuados.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:strategy11:formidable_form_builder:*:*:*:*:*:wordpress:*:* | 6.7 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página