The FluentCRM – Email Newsletter, Automation, Email Marketing, Email Campaigns, Optins, Leads, and CRM Solution plugin for WordPress is vulnerable to Blind Server-Side Request Forgery in all versions up to, and including, 2.9.87 via the 'SubscribeURL' parameter. This makes it possible for unauthenticated attackers to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services. Exploitation requires that the SES bounce handling key ('_fc_bounce_key') has never been stored (i.e., the site is in its default/unconfigured state with respect to SES bounce handling) as visiting the bounce configuration page auto-generates and stores a random key that causes the authentication check to evaluate correctly and reject unauthenticated requests.
FluentCRM WordPress plugin versions up to 2.9.87 contain a Blind Server-Side Request Forgery vulnerability in the SubscribeURL parameter that allows unauthenticated attackers to make arbitrary web requests. This vulnerability only affects unconfigured installations where the SES bounce handling key has never been set.
تحتوي إضافة FluentCRM لـ WordPress على ثغرة SSRF عمياء في معامل SubscribeURL تسمح للمهاجمين غير المصرح لهم بإرسال طلبات ويب تعسفية من خادم التطبيق. تؤثر هذه الثغرة فقط على التثبيتات غير المكونة حيث لم يتم تعيين مفتاح معالجة ارتداد SES من قبل. يمكن استخدام هذه الثغرة للوصول إلى الخدمات الداخلية وتعديل المعلومات الحساسة.
FluentCRM WordPress plugin versions up to 2.9.87 contain a Blind Server-Side Request Forgery vulnerability in the SubscribeURL parameter that allows unauthenticated attackers to make arbitrary web requests. This vulnerability only affects unconfigured installations where the SES bounce handling key has never been set.
Update FluentCRM plugin to version 2.9.88 or later immediately. Configure SES bounce handling settings by visiting the bounce configuration page to generate and store the authentication key. Implement Web Application Firewall rules to restrict outbound requests from WordPress applications. Monitor for suspicious outbound connections from web servers.
قم بتحديث إضافة FluentCRM إلى الإصدار 2.9.88 أو أحدث فوراً. قم بتكوين إعدادات معالجة ارتداد SES بزيارة صفحة تكوين الارتداد لإنشاء وتخزين مفتاح المصادقة. طبق قواعد جدار حماية تطبيقات الويب لتقييد الطلبات الصادرة من تطبيقات WordPress. راقب الاتصالات الصادرة المريبة من خوادم الويب.