En Anàlisi

MITJÀ: (6.1)

CVSS3: 5.4

Contact Form 7 Plugin per al WordPress és vulnerable a la creació de scripts en el lloc, causada per la validació inadequada de l’entrada subministrada per l’usuari per la característica de cerca d’importació del control lliscant. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant el paràmetre de la pestanya en un URL especialment dissenyat per executar script en el navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, una vegada que es fa clic a l’URL. Un atacant podria usar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats:

• WordPress Contact Form 7 plugin for WordPress 5.5.6

Recomanacions:

Actualment (23 de març de 2022), no hi ha remei disponible.

Referències: 

• https://packetstormsecurity.com/files/166410
•  https://wordpress.org/plugins/contact-form-7/