Scanner gratuitement
LOWCVE-2024-13450CVSS 3.8

Contact Form by Bit Form <= 2.17.4 - Requête de Falsification de Serveur Authentifiée (Administrateur+) (Server-Side Request Forgery)

Plateforme

wordpress

Composant

bit-form

Corrigé dans

2.17.5

AI Confidence: highNVDEPSS 0.3%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2024-13450 affecte le plugin WordPress « Contact Form by Bit Form », notamment les modules « Multi Step Form », « Calculation Contact Form », « Payment Contact Form » et « Custom Contact Form builder ». Elle se manifeste par une faille de type SSRF (Server-Side Request Forgery) qui permet à un attaquant authentifié, disposant d'un accès administrateur ou supérieur, d'effectuer des requêtes web vers des destinations arbitraires. Cette vulnérabilité est présente dans toutes les versions du plugin jusqu'à et y compris la version 2.17.4, via l'intégration Webhooks.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

Un attaquant exploitant cette vulnérabilité peut initier des requêtes HTTP arbitraires depuis le serveur d'application. Cela lui permet d'interroger et potentiellement de modifier des informations provenant de services internes, même s'ils ne sont pas directement accessibles depuis l'extérieur. Dans un environnement Multisite, l'attaquant pourrait potentiellement affecter plusieurs sites. L'impact peut aller de la simple collecte d'informations sensibles à des modifications de configuration ou même à l'exécution de code malveillant sur des services internes, en fonction de leur vulnérabilité et des permissions accordées à l'attaquant. Bien que le CVSS soit classé comme LOW, l'accès administrateur requis limite l'exploitation, mais la présence de cette vulnérabilité dans un plugin populaire augmente le risque d'exploitation.

Contexte d'Exploitation

La vulnérabilité CVE-2024-13450 a été publiée le 25 janvier 2025. Il n'y a pas d'indication d'une inscription sur le KEV de CISA ni de score EPSS. Aucune preuve publique d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité SSRF et sa présence dans un plugin WordPress populaire la rendent potentiellement attrayante pour les attaquants. Consultez l'avis officiel de Bit Form pour plus d'informations.

Qui Est à Risquetraduction en cours…

WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.

Étapes de Détectiontraduction en cours…

• wordpress / composer / npm:

grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.34% (percentile 57%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N3.8LOWAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantbit-form
Fournisseurbitpressadmin
Plage affectéeCorrigé dans
* – 2.17.42.17.5

Informations sur le paquet

Note du plugin
5.0
Nécessite WordPress
5.0+
Compatible jusqu'à
7.0
Nécessite PHP
7.4+
Site web

Classification de Faiblesse (CWE)

CWE-918

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour
Sans correctif — 484 jours depuis la divulgation

Mitigation et Contournements

La mitigation principale consiste à mettre à jour le plugin « Contact Form by Bit Form » vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de désactiver temporairement l'intégration Webhooks pour réduire la surface d'attaque. Si la mise à jour casse la compatibilité, une solution de contournement consiste à restreindre les adresses IP autorisées à accéder aux Webhooks via un pare-feu ou un proxy inverse. Il est également recommandé de surveiller les journaux d'accès et d'erreurs du serveur web pour détecter des requêtes suspectes vers des destinations internes. Après la mise à jour, vérifiez la configuration du plugin et assurez-vous que les Webhooks sont correctement sécurisés.

Comment corriger

Mettez à jour le plugin Contact Form by Bit Form vers la dernière version disponible. La vulnérabilité de Server-Side Request Forgery (SSRF) a été corrigée dans les versions postérieures à la 2.17.4. Cela empêchera les attaquants authentifiés disposant de privilèges d'administrateur de faire des requêtes web vers des emplacements arbitraires depuis leur application web.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2024-13450 — SSRF in Contact Form by Bit Form?

CVE-2024-13450 is a Server-Side Request Forgery vulnerability affecting the Contact Form by Bit Form WordPress plugin, allowing authenticated admins to make arbitrary web requests.

Am I affected by CVE-2024-13450 in Contact Form by Bit Form?

You are affected if you are using the Contact Form by Bit Form plugin in WordPress versions 2.17.4 or earlier. Upgrade to 2.18.0 or later to mitigate the risk.

How do I fix CVE-2024-13450 in Contact Form by Bit Form?

Upgrade the Contact Form by Bit Form plugin to version 2.18.0 or later. Temporarily disable the Webhooks integration as a workaround if upgrading is not immediately possible.

Is CVE-2024-13450 being actively exploited?

There is currently no evidence of active exploitation, but the vulnerability remains a potential risk and should be addressed promptly.

Where can I find the official Contact Form by Bit Form advisory for CVE-2024-13450?

Refer to the official Bit Form website and WordPress plugin repository for updates and security advisories related to CVE-2024-13450.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE