CVE-2024-31372

MITJÀ (4,3)

CVSS3: 3,8

El connector No-Bot Registration per a WordPress és vulnerable a la falsificació de sol·licituds entre llocs, també coneguda com a atac d’un sol clic, causada per una validació incorrecta de l’entrada proporcionada per l’usuari. En persuadir un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP amb un format incorrecte per dur a terme accions no autoritzades. Un atacant podria explotar aquesta vulnerabilitat per dur a terme atacs d’injecció indirecta de scripts, enverinament de la memòria cau web i altres activitats malicioses.

Sistemes Afectats

• WordPress No-Bot Registration Plugin for WordPress 1.9.1

Remediació
Actualitzeu a la darrera versió del connector de registre sense bot (2.0 o posterior), disponible al Directori de connectors de WordPress. Vegeu-ne les Referències.

Referències

• No-Bot Registration Plugin for WordPress | WordPress
• WordPress No-Bot Registration Plugin <= 1.9.1 is vulnerable to Cross Site Request Forgery (CSRF)