一、 漏洞 CVE-2023-6630 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
WordPress上的 Contact Form 7 – 动态文本扩展插件在所有版本(包括4.1.0)上都可以通过 CF7_get_custom_field 和 CF7_get_current_user shortcodes 受到不安全的直接对象引用的漏洞。这是因为一个受用户控制的关键(key)未进行验证。这使得具有贡献权限或更高权限的认证攻击者可以访问任何主题的任意元数据,通过 ID 引用主题,并通过键引用元数据。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过用户控制密钥绕过授权机制
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Contact Form 7 – Dynamic Text Extension plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 4.1.0 via the CF7_get_custom_field and CF7_get_current_user shortcodes due to missing validation on a user controlled key. This makes it possible for authenticated attackers with contributor access or higher to access arbitrary metadata of any post type, referencing the post by id and the meta by key.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Plugin Contact Form 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Contact Form 7 4.1.0 版本及之前版本存在安全漏洞,该漏洞源于缺少对用户控制密钥的验证,CF7_get_custom_field 和 CF7_get_current_user 属性存在不安全对象直接引用漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-6630 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-6630 的情报信息