平台
wordpress
组件
bit-form
修复版本
2.17.5
CVE-2024-13450 描述了 WordPress 插件 Contact Form by Bit Form 中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许具有管理员级别或更高权限的身份验证攻击者从 Web 应用程序发起对任意位置的 Web 请求,从而可能查询和修改内部服务的内部信息。该漏洞影响所有版本,包括 2.17.4 及更早版本。目前已发布,建议用户尽快采取措施。
攻击者可以利用此 SSRF 漏洞发起对内部网络的请求,绕过防火墙和安全策略。这可能导致敏感数据泄露,例如数据库凭据、API 密钥或内部服务信息。在多站点环境中,攻击者可以利用此漏洞影响所有站点。攻击者还可以利用此漏洞修改内部服务,例如更改配置或执行恶意代码。由于攻击者需要管理员权限,因此该漏洞的潜在影响相对有限,但仍然可能导致严重的安全问题。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但由于漏洞的性质,预计未来可能会出现。
WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'disclosure
漏洞利用状态
EPSS
0.34% (57% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 Contact Form by Bit Form 的最新版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下缓解措施:限制 Webhooks 功能的访问权限,只允许访问受信任的 URL;实施严格的输入验证和过滤,以防止攻击者构造恶意的 Web 请求;使用 Web 应用防火墙 (WAF) 来检测和阻止 SSRF 攻击。此外,定期审查 WordPress 插件的配置,确保其安全设置正确。
将 Contact Form by Bit Form 插件更新到最新可用版本。服务器端请求伪造 (Server-Side Request Forgery, SSRF) 漏洞已在 2.17.4 之后的版本中修复。这将防止具有管理员权限的认证攻击者从其 Web 应用程序发起 Web 请求到任意位置。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-13450 是 WordPress 插件 Contact Form by Bit Form 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者发起任意 Web 请求。
如果您正在使用 Contact Form by Bit Form 插件的 2.17.4 或更早版本,则可能受到此漏洞的影响。
建议升级到 Contact Form by Bit Form 的最新版本,该版本修复了此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Contact Form by Bit Form 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。