Platform
wordpress
Component
bit-form
Opgelost in
2.17.5
CVE-2024-13450 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Contact Form by Bit Form WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met administratorrechten in staat om webverzoeken naar interne systemen te sturen, wat potentieel tot data-exfiltratie of configuratiewijzigingen kan leiden. De kwetsbaarheid treedt op in versies van de plugin tot en met 2.17.4. Een upgrade naar een beveiligde versie is de aanbevolen oplossing.
Een succesvolle exploitatie van CVE-2024-13450 kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het verkrijgen van gevoelige informatie, het wijzigen van configuraties of zelfs het compromitteren van andere systemen binnen het interne netwerk. De mogelijkheid om webverzoeken naar willekeurige locaties te sturen, vergroot de potentiële impact aanzienlijk. In een WordPress Multisite omgeving kan de kwetsbaarheid zich verspreiden naar meerdere sites binnen dezelfde installatie, waardoor de blast radius toeneemt.
Op dit moment is er geen publieke exploitatie van CVE-2024-13450 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-01-25. De CVSS score is LOW, wat suggereert dat de exploitatie complexiteit relatief hoog is. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven. Het is aan te raden om de plugin te monitoren op verdachte activiteit en de beveiligingsupdates van de plugin leverancier te volgen.
WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'disclosure
Exploit Status
EPSS
0.34% (57% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-13450 is het upgraden van de Contact Form by Bit Form plugin naar een beveiligde versie. Controleer de website van de plugin of de WordPress plugin repository voor de meest recente versie met de correctie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het beperken van de toegang tot de Webhooks integratie via een WordPress firewall (WAF) of proxy zijn. Configureer de WAF om verzoeken naar interne IP-adressen of domeinen te blokkeren. Daarnaast kan het controleren van de configuratie van de plugin en het beperken van de rechten van gebruikers die toegang hebben tot de Webhooks functie helpen om het risico te verminderen.
Werk de Contact Form by Bit Form plugin bij naar de laatste beschikbare versie. De Server-Side Request Forgery (SSRF) kwetsbaarheid is verholpen in versies later dan 2.17.4. Dit voorkomt dat geauthenticeerde aanvallers met administrator privileges webverzoeken naar willekeurige locaties vanuit hun webapplicatie kunnen versturen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-13450 is a Server-Side Request Forgery vulnerability affecting the Contact Form by Bit Form WordPress plugin, allowing authenticated admins to make arbitrary web requests.
You are affected if you are using the Contact Form by Bit Form plugin in WordPress versions 2.17.4 or earlier. Upgrade to 2.18.0 or later to mitigate the risk.
Upgrade the Contact Form by Bit Form plugin to version 2.18.0 or later. Temporarily disable the Webhooks integration as a workaround if upgrading is not immediately possible.
There is currently no evidence of active exploitation, but the vulnerability remains a potential risk and should be addressed promptly.
Refer to the official Bit Form website and WordPress plugin repository for updates and security advisories related to CVE-2024-13450.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.