Vulnerability Details CVE-2024-12427
The Multi Step Form plugin for WordPress is vulnerable to unauthorized limited file upload due to a missing capability check on the fw_upload_file AJAX action in all versions up to, and including, 1.7.23. This makes it possible for unauthenticated attackers to upload limited file types such as images.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.001
EPSS Ranking 29.6%
CVSS Severity
CVSS v3 Score 5.3
References
- https://plugins.trac.wordpress.org/browser/multi-step-form/tags/1.7.22/includes/lib/msf-shortcode.class.php#L100
- https://plugins.trac.wordpress.org/browser/multi-step-form/tags/1.7.22/includes/lib/msf-shortcode.class.php#L30
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3219723%40multi-step-form&new=3219723%40multi-step-form&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f0a31fee-ccc2-4c3b-b198-6cb750188113?source=cve
Products affected by CVE-2024-12427
-
cpe:2.3:a:mondula:multi_step_form:1.0.0
-
cpe:2.3:a:mondula:multi_step_form:1.0.1
-
cpe:2.3:a:mondula:multi_step_form:1.0.2
-
cpe:2.3:a:mondula:multi_step_form:1.0.3
-
cpe:2.3:a:mondula:multi_step_form:1.0.4
-
cpe:2.3:a:mondula:multi_step_form:1.0.5
-
cpe:2.3:a:mondula:multi_step_form:1.0.6
-
cpe:2.3:a:mondula:multi_step_form:1.0.7
-
cpe:2.3:a:mondula:multi_step_form:1.0.8
-
cpe:2.3:a:mondula:multi_step_form:1.1.0
-
cpe:2.3:a:mondula:multi_step_form:1.1.1
-
cpe:2.3:a:mondula:multi_step_form:1.1.3
-
cpe:2.3:a:mondula:multi_step_form:1.1.4
-
cpe:2.3:a:mondula:multi_step_form:1.1.5
-
cpe:2.3:a:mondula:multi_step_form:1.1.6
-
cpe:2.3:a:mondula:multi_step_form:1.1.7
-
cpe:2.3:a:mondula:multi_step_form:1.1.8
-
cpe:2.3:a:mondula:multi_step_form:1.2.0
-
cpe:2.3:a:mondula:multi_step_form:1.2.1
-
cpe:2.3:a:mondula:multi_step_form:1.2.2
-
cpe:2.3:a:mondula:multi_step_form:1.2.3
-
cpe:2.3:a:mondula:multi_step_form:1.2.4
-
cpe:2.3:a:mondula:multi_step_form:1.2.5
-
cpe:2.3:a:mondula:multi_step_form:1.2.6
-
cpe:2.3:a:mondula:multi_step_form:1.2.7
-
cpe:2.3:a:mondula:multi_step_form:1.2.8
-
cpe:2.3:a:mondula:multi_step_form:1.2.9
-
cpe:2.3:a:mondula:multi_step_form:1.3.0
-
cpe:2.3:a:mondula:multi_step_form:1.3.1
-
cpe:2.3:a:mondula:multi_step_form:1.3.2
-
cpe:2.3:a:mondula:multi_step_form:1.3.3
-
cpe:2.3:a:mondula:multi_step_form:1.4.0
-
cpe:2.3:a:mondula:multi_step_form:1.4.1
-
cpe:2.3:a:mondula:multi_step_form:1.5.1
-
cpe:2.3:a:mondula:multi_step_form:1.5.2
-
cpe:2.3:a:mondula:multi_step_form:1.5.3
-
cpe:2.3:a:mondula:multi_step_form:1.6.0
-
cpe:2.3:a:mondula:multi_step_form:1.6.1
-
cpe:2.3:a:mondula:multi_step_form:1.7.0
-
cpe:2.3:a:mondula:multi_step_form:1.7.1
-
cpe:2.3:a:mondula:multi_step_form:1.7.10
-
cpe:2.3:a:mondula:multi_step_form:1.7.11
-
cpe:2.3:a:mondula:multi_step_form:1.7.13
-
cpe:2.3:a:mondula:multi_step_form:1.7.15
-
cpe:2.3:a:mondula:multi_step_form:1.7.16
-
cpe:2.3:a:mondula:multi_step_form:1.7.17
-
cpe:2.3:a:mondula:multi_step_form:1.7.18
-
cpe:2.3:a:mondula:multi_step_form:1.7.19
-
cpe:2.3:a:mondula:multi_step_form:1.7.2
-
cpe:2.3:a:mondula:multi_step_form:1.7.20
-
cpe:2.3:a:mondula:multi_step_form:1.7.21
-
cpe:2.3:a:mondula:multi_step_form:1.7.22
-
cpe:2.3:a:mondula:multi_step_form:1.7.23
-
cpe:2.3:a:mondula:multi_step_form:1.7.3
-
cpe:2.3:a:mondula:multi_step_form:1.7.5
-
cpe:2.3:a:mondula:multi_step_form:1.7.6
-
cpe:2.3:a:mondula:multi_step_form:1.7.7
-
cpe:2.3:a:mondula:multi_step_form:1.7.8
-
cpe:2.3:a:mondula:multi_step_form:1.7.9