CRITICAL🇬🇧 English

CVE-2024-2771

Fluent Forms WordPress — privilege escalation przez brak weryfikacji uprawnień

CVSS 9.8v3.1pub. 2024-05-18upd. 2026-04-08

Wtyczka Contact Form Plugin by Fluent Forms dla WordPress zawiera krytyczną podatność pozwalającą nieuwierzytelnionemu atakującemu na eskalację uprawnień. Brak weryfikacji uprawnień w endpoint REST API umożliwia nadanie dowolnemu użytkownikowi uprawnień zarządczych Fluent Forms lub usunięcie kont menedżerów.

Pokaż oryginał (EN)

The Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder plugin for WordPress is vulnerable to privilege escalation due to a missing capability check on the /wp-json/fluentform/v1/managers REST API endpoint in all versions up to, and including, 5.1.16. This makes it possible for unauthenticated attackers to grant users with Fluent Form management permissions which gives them access to all of the plugin's settings and features. This also makes it possible for unauthenticated attackers to delete manager accounts.

🤖 Analiza AI
Jak działa

Podatność wynika z braku sprawdzenia uprawnień (missing capability check) na endpoincie REST API /wp-json/fluentform/v1/managers we wszystkich wersjach wtyczki do 5.1.16 włącznie. Atakujący bez jakiejkolwiek autoryzacji może wysłać żądanie do tego endpointu i przyznać wybranemu użytkownikowi uprawnienia zarządzania Fluent Forms, uzyskując tym samym dostęp do wszystkich ustawień i funkcji wtyczki. Ten sam mechanizm pozwala również na usuwanie istniejących kont menedżerów wtyczki.

Skutki

Nieuwierzytelniony atakujący może przejąć pełną kontrolę nad konfiguracją wtyczki Fluent Forms poprzez nieuprawnione nadanie uprawnień administracyjnych lub usunięcie kont menedżerów, co może prowadzić do naruszenia integralności i dostępności systemu.

Mitygacja

Należy zaktualizować wtyczkę do wersji wyższej niż 5.1.16. Patch dostępny jest w repozytorium WordPress pod changeset 3088078. Zaleca się natychmiastową aktualizację oraz weryfikację kont menedżerów wtyczki pod kątem nieautoryzowanych zmian.

Kogo dotyczy

Wtyczka Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder dla WordPress — wszystkie wersje do 5.1.16 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fluentforms Contact Form

    APP
    Fluentforms
    < 5.1.17
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassLPE
CWE
Referencje

Powiązane podatności

CVE-2022-3463CRITICAL9.8ten sam produkt

The Contact Form Plugin WordPress plugin before 4.3.13 does not validate and escape fields when exporting form...

CVE-2024-10646HIGH7.2ten sam produkt

The Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder plugin for WordPress...

CVE-2024-4157HIGH7.5ten sam produkt

The Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder plugin for WordPress...

CVE-2024-2782HIGH7.5ten sam produkt

The Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder plugin for WordPress...

CVE-2021-34620HIGH8.8ten sam produkt

The WP Fluent Forms plugin < 3.6.67 for WordPress is vulnerable to Cross-Site Request Forgery leading to store...

CVE-2024-2771 — Fluent Forms WordPress — privilege escalation przez brak weryfikacji uprawnień — CRITICAL 9.8 | CVEbaza.pl