Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en NEX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress (CVE-2024-13498)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
12/03/2025
Última modificación:
12/03/2025

Descripción

El complemento NEX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 8.8.1, incluida mediante la carga de archivos, debido a la insuficiente prevención de listados de directorios y la falta de aleatorización de los nombres de archivo. Esto permite que atacantes no autenticados extraigan datos confidenciales, incluidos los archivos cargados mediante un formulario.