发布日期：2024-01-08
更新日期：2024-03-26

受影响系统：

WordPress Plugin Metform Elementor Contact Form Builder <= 3.8.1

描述：

---

CVE(CAN) ID: CVE-2023-6788

WordPress和WordPress plugin都是WordPress基金会的产品，WordPress plugin是一个应用插件。
WordPress Plugin Metform Elementor Contact Form Builder 3.8.1及之前版本存在跨站脚本漏洞，该漏洞源于内容函数上的随机数验证缺失或不正确，未经身份验证的攻击者可通过伪造请求来更新"mf_hubsopt_token", "mf_hubsopt_refresh_token", "mf_hubsopt_token_type"和"mf_hubsopt_expires_in"选项进而发起存储型跨站脚本攻击。

<**>

建议：

---

厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/metform/metform-elementor-contact-form-builder-381-cross-site-request-forgery

浏览次数：218
严重程度：0（网友投票）