Plataforma
wordpress
Componente
wpb-popup-for-contact-form-7
Corregido en
1.7.6
La vulnerabilidad CVE-2024-11038 afecta al plugin WPB Popup for Contact Form 7 – Showing The Contact Form 7 Popup on Button Click – CF7 Popup para WordPress. Esta vulnerabilidad permite la ejecución de shortcodes arbitrarios, lo que podría permitir a un atacante comprometer el sitio web. Afecta a todas las versiones del plugin hasta la 1.7.5. Se recomienda actualizar a la última versión disponible o aplicar mitigaciones temporales.
Un atacante no autenticado puede explotar esta vulnerabilidad para ejecutar shortcodes arbitrarios en un sitio web WordPress que utilice el plugin vulnerable. Esto podría permitir al atacante inyectar código malicioso, modificar el contenido del sitio web, o incluso tomar el control completo del sitio. La ejecución de shortcodes arbitrarios puede llevar a la ejecución de código PHP en el servidor, lo que representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sitio web y sus datos. La falta de validación adecuada en la acción AJAX wpbpcffirecontactform es la causa raíz de este problema.
Esta vulnerabilidad fue publicada el 19 de noviembre de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la disponibilidad de la descripción técnica de la vulnerabilidad aumenta el riesgo de que sea explotada. Se recomienda aplicar las mitigaciones lo antes posible para reducir el riesgo de ataque. No se encuentra en el KEV de CISA al momento de la redacción.
Websites using the WPB Popup for Contact Form 7 plugin, particularly those running older versions (≤1.7.5), are at risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Websites that rely on the plugin for critical functionality, such as lead generation or customer support, face a higher potential impact if compromised.
• wordpress / composer / npm:
grep -r 'wpb_pcf_fire_contact_form' /var/www/html/wp-content/plugins/wp-popup-for-contact-form7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-popup-for-contact-form7'• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpb_pcf_fire_contact_form&some_malicious_shortcode | head -n 1disclosure
Estado del Exploit
EPSS
1.11% (78% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WPB Popup for Contact Form 7 a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la acción AJAX wpbpcffirecontactform a usuarios autenticados con privilegios adecuados. También se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Monitorear los logs del servidor en busca de actividad sospechosa relacionada con la ejecución de shortcodes también es crucial.
Actualice el plugin WPB Popup for Contact Form 7 a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución de shortcodes arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11038 is a vulnerability in the WPB Popup for Contact Form 7 plugin that allows unauthenticated attackers to execute arbitrary shortcodes, potentially compromising the website.
You are affected if you are using the WPB Popup for Contact Form 7 plugin in a version equal to or less than 1.7.5.
Upgrade the WPB Popup for Contact Form 7 plugin to a version higher than 1.7.5. If immediate upgrade is not possible, disable the plugin or implement a WAF rule.
As of November 2024, there are no known public exploits or active campaigns targeting this vulnerability, but monitoring is advised.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.