CVE-2023-2301 in Contact Form Builder Pluginالمعلومات

الملخص

بحسب VulDB • 29/05/2026

يوجد ثغرة في Cross-Site Request Forgery (CSRF) في إضافة Contact Form Builder من vcita لـ WordPress في الإصدارات حتى 4.10.3 وشاملة لها. ويعود ذلك إلى عدم وجود تحقق من nonce في الدالة ls_parse_vcita_callback. مما يتيح للمهاجمين غير المصادق عليهم تعديل إعدادات الإضافة وإدراج كود JavaScript ضار عبر طلب مزيف، بشرط أن ينجحوا في خداع مسؤول الموقع لتنفيذ إجراء مثل النقر على رابط. وعلى الرغم من أن ثغرة Cross-Site Scripting (XSS) قد تم إصلاحها في الإصدار 4.10.1، إلا أن الإضافة لا تزال عرضة تقنياً لـ Cross-Site Request Forgery (CSRF) حيث تمت إضافة فحص للصلاحيات (capability check) ولكن بدون فحص nonce في الإصدار 4.10.2.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

26/04/2023

إفشاء

03/06/2023

الاعتدال

تمت الموافقة

إدخال

VDB-230592

EPSS

0.00295

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!