Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las acciones AJAX en el plugin de WordPress Redirection for Contact Form (CVE-2021-24282)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2021
Última modificación:
17/05/2021

Descripción

En el plugin de WordPress Redirection for Contact Form versiones 7 anteriores a 2.3.4, cualquier usuario autenticado, como un suscriptor, puede usar las diversas acciones AJAX en el plugin para hacer una variedad de cosas. Por ejemplo, un atacante podría usar la función wpcf7r_reset_settings para restablecer la configuración del plugin, la función wpcf7r_add_action para agregar acciones a un formulario y más

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:querysol:redirection_for_contact_form_7:*:*:*:*:*:wordpress:*:* 2.3.4 (excluyendo)