Cross-Site Request Forgery (CSRF)
รายงานช่องโหว่ CVE-2023-24419 Cross-Site Request Forgery (CSRF) ในปลั๊กอิน Strategy11 Form Builder Team Formidable Forms ของ WordPress ตั้งแต่เวอร์ชัน 5.5.6 ลงไป โดยมีระดับความรุนแรงอยู่ที่ High (CVSS 8.8/10)
ช่องโหว่นี้ถูกค้นพบและรายงานโดย Rafshanzani Suhada ตรงกับ OWASP Top 10 หัวข้อ A5: Broken Access Control ซึ่งช่องโหว่จะส่งผลให้ผู้ไม่หวังดีสามารถบังคับผู้ใช้ที่มีสิทธิ์สูงกว่าให้ดำเนินการที่ไม่ต้องการได้ ช่องโหว่นี้ส่งผลกระทบต่อฟังก์ชันที่ไม่รู้จัก เมื่อใส่ค่าที่ไม่รู้จักทำให้เกิดช่องโหว่ Cross-Site Request Forgery (CSRF) โดยเว็บแอปพลิเคชันไม่สามารถตรวจสอบและการจัดการกับคำขอที่ถูกเรียกได้อย่างเพียงพอว่า คำขอมีรูปแบบที่ถูกต้อง และสอดคล้องกันกับเจตนาของผู้ใช้ที่ส่งคำขอหรือไม่
คำแนะนำ
ปัจจุบันช่องโหว่ CVE-2023-24419 นี้ได้รับการแก้ไขแล้ว โดยแนะนำให้ผู้ใช้งานปลั๊กอิน Formidable Forms อัปเดตเป็นเวอร์ชัน 5.5.7 ขึ้นไป
