Podatność CVE-2021-24166
Publikacja: 2021-04-05

Opis:
The wp_ajax_nf_oauth_disconnect from the Ninja Forms Contact Form ?? The Drag and Drop Form Builder for WordPress WordPress plugin before 3.4.34 had no nonce protection making it possible for attackers to craft a request to disconnect a site's OAuth connection.

Typ:

CWE-352

 (Cross-Site Request Forgery (CSRF))

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5.8/10
4.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Częściowy
Affected software
Ninjaforms -> Ninja forms 

 Referencje:
https://wpscan.com/vulnerability/b531fb65-a8ff-4150-a9a1-2a62a3c00bd6
https://www.wordfence.com/blog/2021/02/one-million-sites-affected-four-severe-vulnerabilities-patched-in-ninja-forms/
Copyright 2024, cxsecurity.com

 

Back to Top