CVE-2024-6316 in Generate PDF using Contact Form 7 Plugin
Zusammenfassung
von VulDB • 07.07.2026
Das WordPress-Plugin „Generate PDF using Contact Form 7“ ist in den Versionen bis einschließlich 4.0.6 anfällig für Cross-Site Request Forgery (CSRF) mit beliebiger Dateiübertragung. Dies liegt an der fehlenden Nonce-Validierung und der fehlenden Validierung des Dateityps in der Funktion `wp_cf7_pdf_dashboard_html_page`. Dadurch ist es nicht authentifizierten Angreifern möglich, beliebige Dateien auf dem Server der betroffenen Website hochzuladen, was unter Umständen eine Remote Code Execution (RCE) ermöglicht, sofern sie einen Site-Administrator dazu bringen können, eine Aktion wie das Klicken auf einen Link auszuführen.
If you want to get best quality of vulnerability data, you may have to visit VulDB.