Plateforme
wordpress
Composant
bit-form
Corrigé dans
2.17.5
La vulnérabilité CVE-2024-13450 affecte le plugin WordPress « Contact Form by Bit Form », notamment les modules « Multi Step Form », « Calculation Contact Form », « Payment Contact Form » et « Custom Contact Form builder ». Elle se manifeste par une faille de type SSRF (Server-Side Request Forgery) qui permet à un attaquant authentifié, disposant d'un accès administrateur ou supérieur, d'effectuer des requêtes web vers des destinations arbitraires. Cette vulnérabilité est présente dans toutes les versions du plugin jusqu'à et y compris la version 2.17.4, via l'intégration Webhooks.
Un attaquant exploitant cette vulnérabilité peut initier des requêtes HTTP arbitraires depuis le serveur d'application. Cela lui permet d'interroger et potentiellement de modifier des informations provenant de services internes, même s'ils ne sont pas directement accessibles depuis l'extérieur. Dans un environnement Multisite, l'attaquant pourrait potentiellement affecter plusieurs sites. L'impact peut aller de la simple collecte d'informations sensibles à des modifications de configuration ou même à l'exécution de code malveillant sur des services internes, en fonction de leur vulnérabilité et des permissions accordées à l'attaquant. Bien que le CVSS soit classé comme LOW, l'accès administrateur requis limite l'exploitation, mais la présence de cette vulnérabilité dans un plugin populaire augmente le risque d'exploitation.
La vulnérabilité CVE-2024-13450 a été publiée le 25 janvier 2025. Il n'y a pas d'indication d'une inscription sur le KEV de CISA ni de score EPSS. Aucune preuve publique d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité SSRF et sa présence dans un plugin WordPress populaire la rendent potentiellement attrayante pour les attaquants. Consultez l'avis officiel de Bit Form pour plus d'informations.
WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'disclosure
Statut de l'Exploit
EPSS
0.34% (percentile 57%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin « Contact Form by Bit Form » vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de désactiver temporairement l'intégration Webhooks pour réduire la surface d'attaque. Si la mise à jour casse la compatibilité, une solution de contournement consiste à restreindre les adresses IP autorisées à accéder aux Webhooks via un pare-feu ou un proxy inverse. Il est également recommandé de surveiller les journaux d'accès et d'erreurs du serveur web pour détecter des requêtes suspectes vers des destinations internes. Après la mise à jour, vérifiez la configuration du plugin et assurez-vous que les Webhooks sont correctement sécurisés.
Mettez à jour le plugin Contact Form by Bit Form vers la dernière version disponible. La vulnérabilité de Server-Side Request Forgery (SSRF) a été corrigée dans les versions postérieures à la 2.17.4. Cela empêchera les attaquants authentifiés disposant de privilèges d'administrateur de faire des requêtes web vers des emplacements arbitraires depuis leur application web.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-13450 is a Server-Side Request Forgery vulnerability affecting the Contact Form by Bit Form WordPress plugin, allowing authenticated admins to make arbitrary web requests.
You are affected if you are using the Contact Form by Bit Form plugin in WordPress versions 2.17.4 or earlier. Upgrade to 2.18.0 or later to mitigate the risk.
Upgrade the Contact Form by Bit Form plugin to version 2.18.0 or later. Temporarily disable the Webhooks integration as a workaround if upgrading is not immediately possible.
There is currently no evidence of active exploitation, but the vulnerability remains a potential risk and should be addressed promptly.
Refer to the official Bit Form website and WordPress plugin repository for updates and security advisories related to CVE-2024-13450.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.