CVE-2019-25145
Contact Form & SMTP Plugin by PirateForms <= 2.5.1 - Unauthenticated HTML injection
Em resumo
Um formulário de contato desprotegido permite que atacantes injetem código HTML malicioso em emails sem precisar fazer login. Isso pode ser usado para enganar usuários e fazê-los clicar em links prejudiciais ou revelar informações sensíveis.
Detalhe técnico
O plugin PirateForms até a versão 2.5.1 não sanitiza adequadamente a entrada do usuário no tratamento de emails (public/class-pirateforms-public.php), permitindo injeção de HTML não autenticada. Atacantes podem enviar formulários contendo HTML arbitrário que é embutido nos emails enviados, facilitando ataques de phishing contra os destinatários.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Contact Form & SMTP Plugin by PirateForms plugin for WordPress is vulnerable to HTML injection in the ‘public/class-pirateforms-public.php’ file in versions up to, and including, 2.5.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary HTML in emails that could be used to phish unsuspecting victims.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Produtos afetados
smub · Contact Form & SMTP Plugin for WordPress by PirateFormsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →