← volver
CVE-2019-25145

Contact Form & SMTP Plugin by PirateForms <= 2.5.1 - Unauthenticated HTML injection

CVSS 7.2 HIGHEPSS 0.7%CWE-79
En resumen

Un formulario de contacto desprotegido permite que atacantes inyecten código HTML malicioso en correos electrónicos sin necesidad de iniciar sesión. Esto podría usarse para engañar a usuarios y hacerlos clicar en enlaces dañinos o revelar información sensible.

Detalle técnico

El plugin PirateForms hasta la versión 2.5.1 no sanitiza adecuadamente la entrada del usuario en el manejo de correos (public/class-pirateforms-public.php), permitiendo inyección de HTML no autenticada. Los atacantes pueden enviar formularios que contienen HTML arbitrario que se incrusta en los correos salientes, facilitando ataques de phishing contra los destinatarios.

Resumen generado y traducido por IA a partir de la descripción oficial.
The Contact Form & SMTP Plugin by PirateForms plugin for WordPress is vulnerable to HTML injection in the ‘public/class-pirateforms-public.php’ file in versions up to, and including, 2.5.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary HTML in emails that could be used to phish unsuspecting victims.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Productos afectados
smub · Contact Form & SMTP Plugin for WordPress by PirateForms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://blog.nintechnet.com/html-injection-vulnerability-in-wordpress-pirate-forms-plugin/https://www.wordfence.com/threat-intel/vulnerabilities/id/9e34c3f6-cc84-4e45-9948-6f7fd5cba8cd?source=cve