Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Contact Form builder with drag & drop for WordPress – Kali Forms para WordPress (CVE-2024-1217)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/02/2024
Última modificación:
19/01/2025

Descripción

El complemento Contact Form builder with drag & drop for WordPress – Kali Forms para WordPress es vulnerable a la desactivación no autorizada del complemento debido a una falta de verificación de capacidad en la función await_plugin_deactivation en todas las versiones hasta la 2.3.41 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, desactiven cualquier complemento activo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:kaliforms:contact_form_builder:*:*:*:*:*:wordpress:*:* 2.3.42 (excluyendo)