Vulnerabilidad en Advanced Form Integration – Connect WooCommerce and Contact Form 7 to Google Sheets and other platform para WordPress (CVE-2024-2387)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2024
Última modificación:
20/03/2024
Descripción
El complemento Advanced Form Integration – Connect WooCommerce and Contact Form 7 to Google Sheets and other platform para WordPress es vulnerable a la inyección SQL a través del parámetro 'integration_id' en todas las versiones hasta la 1.82.0 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes y, posteriormente, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar con éxito a un usuario para que realice una acción, como hacer clic en un enlace.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/advanced-form-integration/trunk/includes/class-adfoin-log-table.php#L227
- https://plugins.trac.wordpress.org/browser/advanced-form-integration/trunk/includes/class-adfoin-log-table.php#L275
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3052201%40advanced-form-integration&new=3052201%40advanced-form-integration
- https://www.wordfence.com/threat-intel/vulnerabilities/id/45d5a677-9b8b-4258-9cfb-101b0f0e6f6f?source=cve