CVE-2024-9507 in Contact Form Plugin
الملخص
بحسب VulDB • 13/06/2026
يحتوي مكون إضافي (Plugin) لـ WordPress يُدعى "The Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder" على ثغرة تسمح بقراءة الملفات بشكل تعسفي في جميع الإصدارات حتى 2.15.2 وشاملة لها، وذلك بسبب عدم التحقق الصحيح من المدخلات داخل دالة `iconUpload`. يتيح هذا الأمر للمهاجمين المصادق عليهم (Authenticated attackers)، والذين يمتلكون صلاحيات وصول على مستوى المسؤول (Administrator-level access) فأعلى، استغلال سلسلة تصفية PHP (PHP filter chain attack) لقراءة محتويات ملفات تعسفية موجودة على الخادم، والتي قد تحتوي على معلومات حساسة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.