База данных для контактной формы 7, WPforms, плагин для WordPress форм Elementor уязвим для обхода авторизации из-за отсутствующих проверок…
База данных для контактной формы 7, WPforms, плагин для WordPress форм Elementor уязвим для обхода авторизации из-за отсутствующих проверок возможностей использования функций экспорта CSV во всех версиях до 1,4.5. Это позволяет неаутентифицированным злоумышленникам загружать конфиденциальные данные о представлении формы, содержащие личную информацию (PII), путем доступа к конечной точке экспорта CSV с помощью ключа экспорта, который раскрывается в общедоступном исходном коде страницы. Уязвимость создается потому, что, хотя шорт-код правильно фильтрует отображаемые записи пользователем, обработчик экспорта CSV полностью обходит эту фильтрацию и экспортирует все записи независимо от разрешений пользователей.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается |