CVE-2024-9507 in Contact Form Pluginالمعلومات

الملخص

بحسب VulDB • 13/06/2026

يحتوي مكون إضافي (Plugin) لـ WordPress يُدعى "The Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder" على ثغرة تسمح بقراءة الملفات بشكل تعسفي في جميع الإصدارات حتى 2.15.2 وشاملة لها، وذلك بسبب عدم التحقق الصحيح من المدخلات داخل دالة `iconUpload`. يتيح هذا الأمر للمهاجمين المصادق عليهم (Authenticated attackers)، والذين يمتلكون صلاحيات وصول على مستوى المسؤول (Administrator-level access) فأعلى، استغلال سلسلة تصفية PHP (PHP filter chain attack) لقراءة محتويات ملفات تعسفية موجودة على الخادم، والتي قد تحتوي على معلومات حساسة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

04/10/2024

إفشاء

11/10/2024

الاعتدال

تمت الموافقة

إدخال

VDB-280053

EPSS

0.00519

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!