Vulnerabilidad en The Contact Form & SMTP Plugin for WordPress de PirateForms para WordPress (CVE-2024-13453)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
30/01/2025
Última modificación:
18/02/2025
Descripción
El complemento The Contact Form & SMTP Plugin for WordPress de PirateForms para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta la 2.6.0 y incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/pirate-forms/tags/2.6.0/gutenberg/class-pirateforms-gutenberg.php#L145
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3225666%40pirate-forms&old=3219203%40pirate-forms#file163
- https://www.wordfence.com/threat-intel/vulnerabilities/id/98859214-7acf-4d40-9291-b5669b9614b7?source=cve