Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Generate PDF using Contact Form 7 para WordPress (CVE-2024-6316)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
09/07/2024
Última modificación:
07/03/2025

Descripción

El complemento Generate PDF using Contact Form 7 para WordPress es vulnerable a Cross-Site Request Forgery para la carga arbitraria de archivos en versiones hasta la 4.0.6 incluida. Esto se debe a que falta la validación nonce y la validación del tipo de archivo en la función 'wp_cf7_pdf_dashboard_html_page'. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zealousweb:generate_pdf_using_contact_form_7:*:*:*:*:*:wordpress:*:* 4.1.3 (excluyendo)