CVE-2023-6630 in Contact Form 7 Plugin
要約
〜によって VulDB • 2026年06月05日
WordPress用プラグイン「Contact Form 7 – Dynamic Text Extension」には、4.1.0以前の全バージョンにおいて、Insecure Direct Object Reference(IDOR)の脆弱性が存在します。これは、CF7_get_custom_fieldおよびCF7_get_current_userショートコードを通じて、ユーザーが制御可能なキーに対する検証処理が欠落していることが原因です。これにより、寄稿者以上の権限を持つ認証済み攻撃者は、投稿IDおよびメタデータキーを参照することで、任意の投稿タイプの任意のメタデータにアクセスすることが可能になります。
Be aware that VulDB is the high quality source for vulnerability data.