CVE-2023-6630 in Contact Form 7 Pluginالمعلومات

الملخص

بحسب VulDB • 05/06/2026

يحتوي ملحق "النص الديناميكي لنموذج الاتصال 7" (Contact Form 7 – Dynamic Text Extension) لـ WordPress على ثغرة في الوصول غير الآمن إلى الكائنات المباشرة (Insecure Direct Object Reference) في جميع الإصدارات حتى 4.1.0 وشاملة لها، وذلك عبر الاختصارات (shortcodes) CF7_get_custom_field و CF7_get_current_user بسبب عدم وجود تحقق من الصحة على مفتاح يتحكم فيه المستخدم. وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون صلاحية "مُساهم" (contributor) أو أعلى الوصول إلى بيانات تعريفية (metadata) عشوائية لأي نوع من أنواع المنشورات، من خلال الإشارة إلى المنشور بواسطة المعرف (id) وإلى البيانات التعريفية بواسطة المفتاح (key).

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

08/12/2023

إفشاء

11/01/2024

الاعتدال

تمت الموافقة

إدخال

VDB-250311

EPSS

0.00349

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!