Plataforma
wordpress
Componente
bit-form
Corrigido em
2.17.5
A vulnerabilidade CVE-2024-13450 é uma falha de SSRF (Server-Side Request Forgery) identificada no plugin Contact Form by Bit Form para WordPress. Essa falha permite que atacantes autenticados, com privilégios de administrador ou superiores, realizem requisições web para locais arbitrários a partir da aplicação web. As versões afetadas são aquelas anteriores ou iguais a 2.17.4. A correção oficial está disponível e deve ser aplicada para mitigar o risco.
Um atacante que explore com sucesso a vulnerabilidade SSRF pode obter acesso não autorizado a recursos internos da rede que hospedam o WordPress. Isso pode incluir a leitura de arquivos de configuração sensíveis, o acesso a bancos de dados internos, ou até mesmo a execução de comandos no servidor, dependendo das permissões configuradas. Em ambientes WordPress Multisite, a vulnerabilidade pode ser explorada para afetar múltiplos sites dentro da mesma instalação. A exploração bem-sucedida pode resultar em roubo de dados confidenciais, comprometimento da integridade do sistema e interrupção do serviço.
A vulnerabilidade CVE-2024-13450 foi publicada em 25 de janeiro de 2025. Atualmente, não há relatos de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade SSRF a torna um alvo potencial para exploração automatizada. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração. A vulnerabilidade não está listada no KEV (Know Exploited Vulnerabilities) da CISA no momento da redação.
WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'disclosure
Status do Exploit
EPSS
0.34% (percentil 57%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-13450 é atualizar o plugin Contact Form by Bit Form para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente a integração de Webhooks no plugin. Implementar regras de firewall (WAF) ou proxy para restringir as requisições web originadas do plugin pode ajudar a limitar o impacto da exploração. Monitore os logs do servidor e do WordPress em busca de atividades suspeitas, como requisições para URLs internas inesperadas. Após a atualização, verifique se a integração de Webhooks está funcionando corretamente e se não há erros de configuração.
Atualize o plugin Contact Form by Bit Form para a última versão disponível. A vulnerabilidade de Server-Side Request Forgery (SSRF) foi corrigida em versões posteriores à 2.17.4. Isso evitará que atacantes autenticados com privilégios de administrador realizem requisições web para locais arbitrários desde sua aplicação web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-13450 is a Server-Side Request Forgery vulnerability affecting the Contact Form by Bit Form WordPress plugin, allowing authenticated admins to make arbitrary web requests.
You are affected if you are using the Contact Form by Bit Form plugin in WordPress versions 2.17.4 or earlier. Upgrade to 2.18.0 or later to mitigate the risk.
Upgrade the Contact Form by Bit Form plugin to version 2.18.0 or later. Temporarily disable the Webhooks integration as a workaround if upgrading is not immediately possible.
There is currently no evidence of active exploitation, but the vulnerability remains a potential risk and should be addressed promptly.
Refer to the official Bit Form website and WordPress plugin repository for updates and security advisories related to CVE-2024-13450.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.