Vulnerability Details CVE-2021-4424
The Slider Hero plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 8.2.0. This is due to missing or incorrect nonce validation on the qc_slider_hero_duplicate() function. This makes it possible for unauthenticated attackers to duplicate slides via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.002
EPSS Ranking 39.1%
CVSS Severity
CVSS v3 Score 4.3
References
- https://blog.nintechnet.com/25-wordpress-plugins-vulnerable-to-csrf-attacks/
- https://blog.nintechnet.com/more-wordpress-plugins-and-themes-vulnerable-to-csrf-attacks/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-1/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-2/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-3/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-4/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-5/
- https://plugins.trac.wordpress.org/changeset/2548890/slider-hero/trunk/qcld-slider-main.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e6d195cd-4df8-4926-b834-d695fc05f81d?source=cve
- https://blog.nintechnet.com/25-wordpress-plugins-vulnerable-to-csrf-attacks/
- https://blog.nintechnet.com/more-wordpress-plugins-and-themes-vulnerable-to-csrf-attacks/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-1/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-2/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-3/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-4/
- https://blog.nintechnet.com/multiple-wordpress-plugins-fixed-csrf-vulnerabilities-part-5/
- https://plugins.trac.wordpress.org/changeset/2548890/slider-hero/trunk/qcld-slider-main.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e6d195cd-4df8-4926-b834-d695fc05f81d?source=cve
Products affected by CVE-2021-4424
-
cpe:2.3:a:quantumcloud:slider_hero:-
-
cpe:2.3:a:quantumcloud:slider_hero:0.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:0.9.1
-
cpe:2.3:a:quantumcloud:slider_hero:0.9.5
-
cpe:2.3:a:quantumcloud:slider_hero:1.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.2.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.4.5
-
cpe:2.3:a:quantumcloud:slider_hero:1.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.5.5
-
cpe:2.3:a:quantumcloud:slider_hero:1.6.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.6.5
-
cpe:2.3:a:quantumcloud:slider_hero:1.7.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.7.5
-
cpe:2.3:a:quantumcloud:slider_hero:1.8.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:1.9.1
-
cpe:2.3:a:quantumcloud:slider_hero:2.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.1.5
-
cpe:2.3:a:quantumcloud:slider_hero:2.2.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.3.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.6.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.7.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.8.0
-
cpe:2.3:a:quantumcloud:slider_hero:2.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.2.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.3.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.6.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.7.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.8.0
-
cpe:2.3:a:quantumcloud:slider_hero:3.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.2.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.3.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.6.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.7.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.8.0
-
cpe:2.3:a:quantumcloud:slider_hero:4.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.2.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.3.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.6.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.7.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.8.0
-
cpe:2.3:a:quantumcloud:slider_hero:5.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.3.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.6.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.7.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.8.0
-
cpe:2.3:a:quantumcloud:slider_hero:6.9.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.2.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.3.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.4.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.5.0
-
cpe:2.3:a:quantumcloud:slider_hero:7.5.1
-
cpe:2.3:a:quantumcloud:slider_hero:7.5.2
-
cpe:2.3:a:quantumcloud:slider_hero:7.5.3
-
cpe:2.3:a:quantumcloud:slider_hero:7.5.4
-
cpe:2.3:a:quantumcloud:slider_hero:8.0.0
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.0
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.1
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.2
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.3
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.4
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.5
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.6
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.7
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.8
-
cpe:2.3:a:quantumcloud:slider_hero:8.1.9
-
cpe:2.3:a:quantumcloud:slider_hero:8.2.0