Vulnerabilidad en Metform Elementor Contact Form Builder (CVE-2023-0689)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/08/2023
Última modificación:
21/11/2024
Descripción
El Metform Elementor Contact Form Builder para WordPress es vulnerable a la revelación de información a través del shortcode 'mf_first_name' en versiones hasta la 3.3.1, inclusive. Esto permite a atacantes autenticados, con capacidades de nivel de suscriptor o superior, obtener información sensible sobre envíos de formularios arbitrarios, incluyendo el nombre del remitente.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wpmet:metform_elementor_contact_form_builder:*:*:*:*:*:wordpress:*:* | 3.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/metform/trunk/base/shortcode.php?rev=2845078
- https://plugins.trac.wordpress.org/changeset/2910040/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/356cf06e-16e7-438b-83b5-c8a52a21f903?source=cve
- https://plugins.trac.wordpress.org/browser/metform/trunk/base/shortcode.php?rev=2845078
- https://plugins.trac.wordpress.org/changeset/2910040/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/356cf06e-16e7-438b-83b5-c8a52a21f903?source=cve