WPForms – 适用于 WordPress <= 1.9.1.6 的简易表单生成器 - 跨站请求伪造 (CSRF) 导致插件日志删除 (CVE-2024-10593)
CVE编号
CVE-2024-10593
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-13
漏洞描述
WordPress中的WPForms插件(用于WordPress的简易表单构建器,包括联系表单、支付表单、调查表等)在所有的版本(包括并直至版本1.9.1.6)中都存在跨站请求伪造(Cross-Site Request Forgery)漏洞。这是由于在process_admin_ui函数中缺少或不正确的nonce验证所导致的。这使得未经验证的攻击者有可能通过伪造请求删除WPForm日志,前提是他们能够诱骗网站管理员执行某些操作,例如点击链接。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论