Computer Security

Security Advisory: Abuse of Functionality vulnerability in WP-ContactForm for WordPress
back  news / advisories / forum / software / advertising / search / exploits  forward
[EN] securityvulns.ru
no-pyccku



Related information

  Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

  [DSECRG-08-036] Multiple Security Vulnerabilities in Freeway eCommerce 1.4.1.171

  NewsHOWLER 1.03 Beta Cookie Handling Via Sql injection

  PHP Live Helper <= 2.0.1 Multiple Vulnerabilities

  munky-bliki lfi

From:MustLive <mustlive_(at)_websecurity.com.ua>
Date:18.08.2008
Subject:Abuse of Functionality vulnerability in WP-ContactForm for WordPress

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Abuse of Functionality уязвимости в плагине WP-ContactForm для
WordPress.

Abuse of Functionality:

На странице контактов есть функция “Copy yourself on the form submission”. Она включается в
настройках (Copy Option) и приводит к тому, что через сайт можно рассылать спам (как админу, так
и на произвольные емайлы).

А с использованием Insufficient Anti-automation уязвимости можно автоматизировано рассылать спам
с сайта в больших объёмах.

Эксплоит:

http://websecurity.com.ua/uploads/2008/WP-ContactForm%20Abuse%20of%20
Functionality.html

Уязвима версия WP-ContactForm 2.0.7 и предыдущие версии (а также последующие версии, до 3.1.8
включительно).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2335/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
About | Terms of use | Privacy Policy
© SecurityVulns, 3APA3A, Vladimir Dubrovin
 


Рейтинг@Mail.ru