CVE-2023-2301 in Contact Form Builder Pluginthông tin

Tóm tắt

Bởi VulDB • 18/05/2026

Plugin Contact Form Builder của vcita dành cho WordPress có lỗ hổng Cross-Site Request Forgery (CSRF) trong các phiên bản từ 4.10.3 trở về trước. Lỗ hổng này xảy ra do thiếu xác thực nonce trong hàm ls_parse_vcita_callback. Điều này cho phép các kẻ tấn công chưa được xác thực sửa đổi cài đặt của plugin và chèn mã JavaScript độc hại thông qua một yêu cầu giả mạo, miễn là họ có thể lừa một quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết. Mặc dù lỗ hổng Cross-Site Scripting (XSS) đã được vá trong phiên bản 4.10.1, nhưng plugin vẫn về mặt kỹ thuật dễ bị tấn công bởi Cross-Site Request Forgery vì chỉ một kiểm tra quyền (capability check) mà không có kiểm tra nonce đã được thêm vào trong phiên bản 4.10.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

26/04/2023

Tiết lộ

03/06/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00295

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!