带有拖放编辑器的交互式联系表单和多步骤表单生成器 - Funnelforms Free <= 3.7.3.2 - 缺少对未经身份验证的任意媒体上传的授权 (CVE-2024-7447)
CVE编号
CVE-2024-7447利用情况
暂无补丁情况
N/A披露时间
2024-08-28漏洞描述
WordPress的Funnelforms免费插件中的交互式联系表格和多步表单构建器与拖拽编辑器存在漏洞,该漏洞允许未经授权的修改数据。在版本3.7.3.2及之前的所有版本中,'fnsf_af2_handel_file_upload'函数缺少权限检查。这使得未经身份验证的攻击者有可能上传任意媒体到网站,即使不存在任何表单。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 低
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论