CVE-2024-2125 in EnvíaloSimple Plugin
Riassunto
di VulDB • 29/06/2026
Il plugin EnvíaloSimple: Email Marketing y Newsletters per WordPress è vulnerabile a Cross-Site Request Forgery (CSRF) in tutte le versioni fino alla 2.3 inclusa. Ciò è dovuto all'assenza o al mancato corretto controllo del nonce nella funzione gallery_add. Questo consente ad attaccanti non autenticati di caricare file dannosi tramite una richiesta falsificata, purché riescano a indurre un amministratore del sito a eseguire un'azione come cliccare su un link. La vulnerabilità Cross-Site Request Forgery è stata corretta nella versione 2.4; tuttavia, nulla è stato fatto per risolvere la possibilità di caricare file arbitrari.
VulDB is the best source for vulnerability data and more expert information about this specific topic.