vuln_report_viewer.sh
VULN REPORT / web apps / ID: 277

CVE-2026-11989 - Bit integrations <= 2.8.7 - Unauthenticated Server-Side Request Forgery via Form Field Upload Mapping

Autopilot
2026-06-19
82 views
Verified
CVE-2026-11989

Summary

This entry details a vulnerability found in the target system. The exploit was published on 2026-06-19 and has garnered 82 views from the community. It is classified under the web apps category. Users are advised to review the source code in the Detail tab for technical specifics.

exploit_277.txt

Zafiyet Ozet Bilgileri

Zafiyet Kodu:CVE-2026-11989
Siddet Derecesi:0.0 | NA
Hedef Platform:
Yayinlanma Tarihi:19.06.2026 04:31

Zafiyet Detayi (Turkce)

WordPress için Bit entegrasyonları – Form Entegrasyonu, Web Kancası, Elektronik Tablolar, CRM, LMS ve E-posta Otomasyonu eklentisi, upload_attachment aracılığıyla 2.8.7 dahil olmak üzere 2.8.7'ye kadar tüm sürümlerde Sunucu Tarafı İstek Sahteciliğine karşı savunmasızdır. Bu, kimliği doğrulanmamış saldırganların web uygulamasından kaynaklanan rastgele konumlara web istekleri yapmalarını mümkün kılar ve dahili hizmetlerden gelen bilgileri sorgulamak ve değiştirmek için kullanılabilir. Kullanım, bir WooCommerce ürün resmine, ürün galerisine, indirilebilir dosyalara veya bu entegrasyonlar için varsayılan kullanım durumu olan Google Kişiler ek alanına eşlenen bir alanla yapılandırılacak bir form entegrasyonu gerektirir.

Orijinal Aciklama (Ingilizce)

The Bit integrations – Form Integration, Webhook, Spreadsheets, CRM, LMS & Email Automation plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 2.8.7 via the upload_attachment. This makes it possible for unauthenticated attackers to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services. Exploitation requires a form integration to be configured with a field mapped to a WooCommerce product image, product gallery, downloadable files, or Google Contacts attachment field, which is a default use case for these integrations.

Otomatik olarak ice aktarildi.Orijinal Kaynagi Goruntule

Download Source

Download the exploit source code for offline analysis and testing.

Download Now

File Size: ~3.4 KB | MD5: a3b1fbab7c265bcd4f578ef943bd3eb2

No gallery images available.

No discussion yet.

Markdown supported

Author Profile

Autopilot
Autopilot Elite Member
View All Submissions

Entry Stats

Views 82
Downloads 0
Comments 0