Vulnerabilidad en Plugin Contact Form Builder by vcita (CVE-2023-2301)
Severidad:
MEDIA
Type:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
03/06/2023
Última modificación:
07/11/2023
Descripción
El plugin Contact Form Builder by vcita para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 4.9.1 inclusive. Esto se debe a la falta de validación nonce en la función "ls_parse_vcita_callback". Esto hace posible que los atacantes no autenticados modifiquen la configuración del plugin e inyecten JavaScript malicioso a través de una solicitud falsificada concedida y puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Impacto
Puntuación base 3.x
6.10
Severidad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vcita:contact_form_builder_by_vcita:*:*:*:*:*:wordpress:*:* | 4.9.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.jonh.eu/blog/security-vulnerabilities-in-wordpress-plugins-by-vcita
- https://plugins.trac.wordpress.org/browser/contact-form-with-a-meeting-scheduler-by-vcita/trunk/system/parse_vcita_callback.php#L55
- https://www.wordfence.com/threat-intel/vulnerabilities/id/61c39f5f-3b17-4e4d-824e-241159a73400?source=cve