WordPress Contact Form & Lead Form Elementor Builder插件越权漏洞通报

漏洞概述 漏洞名称: WordPress Contact Form & Lead Form Elementor Builder Plugin <= 1.8.4 存在 Broken Access Control 漏洞 漏洞类型: Broken Access Control 优先级: 低优先级 CVSS 评分: 5.4 影响范围 受影响版本: <= 1.8.4 修复版本: 1.8.5 或更高版本 风险描述: 此类漏洞常用于大规模攻击活动，攻击者可利用这些漏洞同时攻击成千上万的网站，无论其流量大小或受欢迎程度。 修复方案 1. 立即行动: 更新受影响的插件。如果无法自行更新，请联系托管提供商或网站开发人员寻求帮助。 2. 自动缓解: Patchstack 已发布缓解规则，可在更新到补丁版本之前阻止任何攻击。 3. 手动更新: 更新到 1.8.5 或更高版本以解决漏洞。Patchstack 用户可开启自动更新功能。 详细信息 软件: Contact Form & Lead Form Elementor Builder 类型: 插件 漏洞版本: <= 1.8.4 修复版本: 1.8.5 时间线 报告日期: 2022年9月10日 报告人: István Márton 其他信息 用户交互要求: 成功利用需要特权用户执行特定操作，如点击恶意链接、访问伪造页面或提交表单。 Broken Access Control 定义: 缺少授权、认证或 nonce 令牌检查，可能导致未授权用户执行更高权限的操作。 订阅 每周 WordPress 安全情报: 提供每周 WordPress 安全情报，可通过订阅获取。 相关链接 Patchstack 网站: 提供漏洞缓解、代码安全、漏洞赏金等服务。 资源: 包括合作伙伴、漏洞数据库、白皮书、案例研究等。 页脚 版权信息: © 2023 Patchstack 链接: DPA、隐私政策、无障碍、条款与条件 总结 该漏洞为低优先级，影响范围限于特定版本的 WordPress 插件，修复方案包括立即更新插件或使用 Patchstack 的自动缓解功能。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

WordPress Contact Form & Lead Form Elementor Builder插件越权漏洞通报

目标达成感谢每一位支持者 — 我们达成了 100% 目标！