WordPress插件Contact Form DB跨站脚本漏洞

最新推荐文章于 2024-05-27 09:41:37 发布
最新推荐文章于 2024-05-27 09:41:37 发布
阅读量1.5k 收藏
点赞数
分类专栏: php
WordPress插件ContactFormDB 2.8.26版本存在跨站脚本(XSS)漏洞,源于未能充分过滤‘submit_time’参数。远程攻击者可注入任意Web脚本或HTML。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WordPress插件Contact Form DB跨站脚本漏洞

 关注(0) 报送者:恒安嘉新(北京)科技有限公司
CNVD-IDCNVD-2015-01348
发布时间2015-02-28
危害级别中(AV:N/AC:M/Au:N/C:N/I:P/A:N)
影响产品WordPress Contact Form DB plugin 2.8.26
CVE IDCVE-2015-2040
漏洞描述WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Contact Form DB(也称CFDB and contact-form-7-to-database-extension)是其中的一个能够将创建和添加联系人表单提交到WordPress中的插件。

WordPress Contact Form DB插件2.8.26版本中存在跨站脚本漏洞,该漏洞源于wp-admin/admin.php脚本未能充分过滤CF7DBPluginSubmissions页面中的‘submit_time’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
漏洞类型通用软硬件漏洞
URL 
参考链接http://xforce.iss.net/xforce/xfdb/100818
http://packetstormsecurity.com/files/130311/WordPress-Contact-Form-DB-2.8.26-Cross-Site-Scripting.html
漏洞解决方案目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://wordpress.org/plugins/contact-form-7-to-database-extension/changelog/
漏洞发现者unknown
厂商补丁WordPress插件Contact Form DB跨站脚本漏洞的补丁
验证信息(暂无验证信息)
报送时间2015-02-27
收录时间2015-02-28
更新时间2015-02-28
漏洞附件(无附件)
  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
18、构建高效稳定的WordPress博客:从安装到维护
rock5的博客
06-10 272
本篇博客详细介绍了如何使用WordPress搭建高效稳定的博客平台,涵盖安装配置、内容发布管理、SEO优化、安全维护及性能提升等方面,并提供了丰富的插件推荐和社区建设建议,帮助用户成功运营个人博客。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1241
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
WordPress Contact Form 7插件任意文件上传漏洞
weixin_30471561的博客
11-28 1024
漏洞名称: WordPress Contact Form 7插件任意文件上传漏洞 CNNVD编号: CNNVD-201311-415 发布时间: 2013-11-28 更新时间: 2013-11-28 危害等级: 漏洞类型: 输入验证 威胁类型: 远程 CVE编号: ...
contactform7 ajax,Wordpress contact_form_7_v5.0.3 插件 权限提升、任意文件读取漏洞分析...
weixin_32823659的博客
08-07 1255
简介看到了国外有大佬发了关于WordPress的一个非常有名的插件contact form 7的漏洞,之前见到过很多WordPress站点使用这个插件,大佬写的比较笼统,一些详细的利用方式没有说的太明白.漏洞成因这个漏洞是由于插件开发者对WordPress使用不当造成的,其实跟WordPress的逻辑有一定的关系,导致了可以发布普通文章的用户,可以绕过权限认证,进行发表原本插件作者只允许管理员...
WordPress Contact Form插件‘cntctfrm_contact_emai’参数跨站脚本漏洞
weixin_30326741的博客
02-26 383
漏洞名称: WordPress Contact Form插件‘cntctfrm_contact_emai’参数跨站脚本漏洞 CNNVD编号: CNNVD-201302-435 发布时间: 2013-02-25 更新时间: 2013-02-25 危害等级: 漏洞类型: 跨站脚本 威胁类型...
推荐使用:CFDB - 联系表单数据库扩展插件
最新发布
gitblog_00059的博客
05-27 384
推荐使用:CFDB - 联系表单数据库扩展插件 CFDBContact Form Database)是一款强大的WordPress插件,它能轻松地将你的网站上的各种联系表单提交信息保存到数据库中,便于管理和查看。无论是简单的Contact Form 7还是复杂的Gravity Forms,CFDB都能兼容并实现数据的无缝存储。 项目技术分析 CFDB的核心特性在于其自动捕获和处理来自多个主流接...
wordpress插件_在5分钟内建立您自己的WordPress联络表单插件
culi3182的博客
08-25 3690
wordpress插件Most websites are typically designed to comply with standard web practices by including a dedicated page where a contact form is located. This provides visitors with an easy way to reach ou...
笔记:新手SEOer必备的WordPress优化插件
weixin_60552277的博客
12-15 492
3、CubePoints:是目前免费的最强大的 WordPress会员积分插件,这个插件有很多集成的模块,支持设置设定积分前后缀,设定设置积分增长规则,设置收费内容,积分互转,积分排行版等等。4、BackWPup:是一款超级强大的WordPress备份插件,支持全自动的定时备份,支持备份到FTP空间、邮箱、Dropbox、Amazon S3 ,可以备份数据库、网站的任何文件;1、All In One SEO :必备的SEO插件,可以自定义每个页面TDK,不详细介绍,具体参看Wordpress的SEO插件
修复黑客利用Freemius类绕过过身份验证的选项(漏洞-wordpress)
jimbooks的博客
08-01 1128
如果浏览不顺畅请到原文章出处:https://www.sky8g.com/technology/2947/ 请注意可能会提示风险,这是csdn官网如果不是他们的网址,其他的网址都会提示有风险,这是优快云网站设置的问题,本网站全部文章为免费技术分享,请放心访问,无需担心。 原文章出处:https://www.sky8g.com/technology/2947/ 此篇文章是由SKY8G网作者原...
WordPress网站快速部署】:Hostinger上启动新站的步骤指南
WordPress是一个流行的开源内容管理系统(CMS),它允许用户轻松地创建和管理网站内容。网站的快速部署涉及从选择托管服务到安装和配置的整个流程。本章将概述部署过程,并提供详细的分步指南,以帮助读者快速高效地...
WordPress联系表单插件Contact Form 7
10-16
前面曾发表过一篇WordPress自定义表单插件cformsII,它的功能也比较强大,功能也比较多,但是,在使用时这款插件有点小复杂,如果不仔细研究下,肯定会有的晕的.....O(∩_∩)O~,今天在官网又看到了一款类似的插件,和cformsII插件比起来,要简便的多,所以就来介绍下。 Contact Form 7一款简单的Wordpress联系表单插件,不但简单但灵活性高,可以生成多个联系表单,支持通过标记自定义邮件或表单内容的显示,Ajax提交和 jQuery表单插件支持.可结合Akismet过滤垃圾邮件,同时也支持CAPTCHA反垃圾邮件,表单域元素支持各种最常见的:单选框,复选框,文本框,下拉菜单等. Contact Form 7插件安装: 1.下载Contact Form 7插件,将压缩包解压后,把文件夹上传到wp-content/plugins/目录下。 2.登录WordPress管理后台,点击“Plugins”找到上传的插件,激活该插件,即可。激活插件后,在左侧会出现Contact Form 7版块,点击链接会出现如上图的界面。 3.点击Pages新建联系页面,把“[contact-form 1 "Contact form 1"]”代码拷贝到页面中,就会出现相关联系表单信息。 上图中的Form部分是表单的相关内容,除了这些内容外,我们还可以通过标签来实现其他功能,在Form的右侧有“Generate Tag”,点击你就会看到相关的设置内容,如下图: 从图中我们可以看到它的相关功能,这里以Quiz为例:这个选项是设置验证问题的,只有正确回答问题后才可以发表留言,点选后,可以在里面设置一下参数(可选项),设置好后,把“[quiz quiz-数字]”代码拷贝到左边的文本框中,然后保存就可以了。 介绍完上面的内容后,页面的下方是Email设置,填入要接收联系表单的EMail地址、格式、主题、内容等等,你可以根据自己的意愿去填写相关的内容。
Contact form 7插件使用介绍和常见问题解答
weixin_30265103的博客
11-28 868
Contact form 7 是一款非常流行的免费表单插件,功能很强大,操作也不复杂,比曾经用过的emailmeform要更好,下面介绍使用方法。 原文:Contact form 7插件使用介绍和常见问题解答 1. 安装并激活CF7 搜索 contact form 7 即可找到,作者是日本人,所以图标是富士山,选择install并activate it 2.新建并设置CF7表单 安装...
Contact Form 7及WordPress无法收取,发送邮件的解决办法
热门推荐
csnewdn的专栏
02-24 1万+
Contact Form 7及WordPress无法收取,发送邮件的解决办法 contact form 7建站FAQwordpressWordPress插件建站经验分享 其实如果Contact Form 7收发邮件不成功,这不是单单是Contact Form 7插件的问题,这时WordPress其他发送邮件的功能也不正常,主要是服务器出现问题,或者插件主题冲突等; 1、Con
WordPress plugin Contact Form [CSRF → LFI] vulnerable 2019-03-17
weixin_34411563的博客
04-10 188
# Exploit Title: Contact Form by WD [CSRF → LFI]# Date: 2019-03-17# Exploit Author: Panagiotis Vagenas# Vendor Homepage: http://web-dorado.com/# Software Link: https://wordpress.org/plugins/contact-fo...
WordPress插件Contact Form 7 Database安装的问题
weixin_33918114的博客
02-21 176
由于WEB环境和WordPress版本不够高,寻找了一个旧版的插件。 https://tw.wordpress.org/plugins/advanced-cf7-database/ 上传到 /wp-contents/plugins/advanced-cf7-database 启动时,报错如下: 找到这个文件 /advanced-cf7-...
Contact Form 7使用及发送附件详细方法
csnewdn的专栏
02-27 3391
Contact Form 7使用及发送附件详细方法 |浏览:3734|更新:2015-03-11 05:39|标签:iWork  1 2 3 4 5 6 7 分步阅读 Contact Form 7不仅是一个留言类的插件,而且还是一个表单提交插件,其接收留言或表单是通过邮箱接收。在后台设置不同的表单,
divi模板下载_Divi:拖放式WordPress主题
culi3118的博客
08-26 651
divi模板下载Not everyone who uses WordPress is a web designer or developer. In fact, understanding how to build a custom WordPress theme takes a good knowledge of PHP. Theme development company ‘Elegant T...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值