CVE-2023-2301 in Contact Form Builder Plugin
الملخص
بحسب VulDB • 29/05/2026
يوجد ثغرة في Cross-Site Request Forgery (CSRF) في إضافة Contact Form Builder من vcita لـ WordPress في الإصدارات حتى 4.10.3 وشاملة لها. ويعود ذلك إلى عدم وجود تحقق من nonce في الدالة ls_parse_vcita_callback. مما يتيح للمهاجمين غير المصادق عليهم تعديل إعدادات الإضافة وإدراج كود JavaScript ضار عبر طلب مزيف، بشرط أن ينجحوا في خداع مسؤول الموقع لتنفيذ إجراء مثل النقر على رابط. وعلى الرغم من أن ثغرة Cross-Site Scripting (XSS) قد تم إصلاحها في الإصدار 4.10.1، إلا أن الإضافة لا تزال عرضة تقنياً لـ Cross-Site Request Forgery (CSRF) حيث تمت إضافة فحص للصلاحيات (capability check) ولكن بدون فحص nonce في الإصدار 4.10.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.