CVE-2023-2301 in Contact Form Builder Plugin정보

요약

\~에 의해 VulDB • 2026. 05. 29.

WordPress용 vcita 플러그인인 Contact Form Builder는 4.10.3 버전까지 Cross-Site Request Forgery(CSRF) 취약점이 존재합니다. 이는 ls_parse_vcita_callback 함수에서 nonce 검증이 누락되었기 때문입니다. 이를 통해 인증되지 않은 공격자가 사이트 관리자를 속여 링크 클릭과 같은 작업을 수행하도록 유도한 후, 위조된 요청을 통해 플러그인 설정을 수정하고 악성 JavaScript를 주입할 수 있습니다. Cross-Site Scripting(XSS) 문제는 4.10.1 버전에서 패치되었으나, 4.10.2 버전에서 capability 검증은 추가되었지만 nonce 검증은 추가되지 않았기 때문에 플러그인은 여전히 CSRF 취약점에 노출되어 있습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

Wordfence

예약하다

2023. 04. 26.

모더레이션

수락

항목

VDB-230592

EPSS

0.00295

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!