CVE-2024-11038丨联系表单 7 的 WPB 弹出窗口 – 单击按钮时显示联系表单 7 弹出窗口 – CF7 弹出窗口 <= 1.7.5 – 通过 wpb_pcf_fire_contact_form 执行未经身份验证的任意短代码

2024年11月20日 46点热度 0人点赞 0条评论

联系表单 7 的 WPB 弹出窗口 – 单击按钮时显示联系表单 7 弹出窗口 – CF7 弹出窗口 <= 1.7.5 – 通过 wpb_pcf_fire_contact_form 执行未经身份验证的任意短代码 (CVE-2024-11038)

CVE编号

CVE-2024-11038

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-19

漏洞描述

WordPress中的Contact Form 7 Popup插件存在一个安全漏洞，该漏洞允许执行任意短代码。该漏洞存在于所有版本至1.7.5（含）的wp_pcf_fire_contact_form AJAX动作中。由于该软件允许用户执行操作，但没有在执行do_shortcode之前正确验证值，因此未经验证的攻击者可以执行任意短代码。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://gist.github.com/wpbean/1a5abfea883621b4e150eab1362a420f
https://plugins.trac.wordpress.org/browser/wpb-popup-for-contact-form-7/tags/...
https://plugins.trac.wordpress.org/changeset/3188864/
https://wordpress.org/plugins/wpb-popup-for-contact-form-7/#developers
https://www.wordfence.com/threat-intel/vulnerabilities/id/a7faa800-3b29-4b79-...

CVE-2024-11038丨联系表单 7 的 WPB 弹出窗口 – 单击按钮时显示联系表单 7 弹出窗口 – CF7 弹出窗口 <= 1.7.5 – 通过 wpb_pcf_fire_contact_form 执行未经身份验证的任意短代码

联系表单 7 的 WPB 弹出窗口 – 单击按钮时显示联系表单 7 弹出窗口 – CF7 弹出窗口 <= 1.7.5 – 通过 wpb_pcf_fire_contact_form 执行未经身份验证的任意短代码 (CVE-2024-11038)

漏洞描述

解决建议

参考链接

文章评论