Vulnerabilidad en Design for Contact Form 7 Style – CF7 WOW Styler para WordPress (CVE-2024-12419)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
07/01/2025
Última modificación:
07/01/2025
Descripción
El complemento de WordPress The Design for Contact Form 7 Style – CF7 WOW Styler para WordPress es vulnerable a la ejecución arbitraria de códigos cortos en todas las versiones hasta la 1.7.0 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios. Esta funcionalidad también es vulnerable a Cross-Site Scripting Reflejado. La versión 1.7.0 solucionó el problema de XSS Reflejado, sin embargo, el problema de ejecución arbitraria de códigos cortos persiste.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/cf7-styler/tags/1.6.9/admin/class-cf7-customizer-admin.php#L295
- https://plugins.trac.wordpress.org/browser/cf7-styler/tags/1.6.9/admin/class-cf7-customizer-admin.php#L300
- https://plugins.trac.wordpress.org/browser/cf7-styler/tags/1.6.9/admin/class-cf7-customizer-admin.php#L405
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5d78ea71-5886-488e-a660-0dc25129a8b6?source=cve