PT-2020-10361 · Tablepress · Tablepress
Globalbpa
·
Publicado
2020-01-09
·
Atualizado
2024-08-05
·
CVE-2019-20180
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin TablePress versão 1.9.2
Descrição
A vulnerabilidade permite a injeção de CSV via
tablepress[data] por usuários com permissão de Editor. Isso pode potencialmente levar a ações maliciosas quando o arquivo CSV for aberto por um aplicativo. Observe que o fornecedor contesta essa vulnerabilidade, argumentando que a responsabilidade recai sobre o aplicativo que abre o arquivo CSV, e não sobre o TablePress.Recomendações
Para o plugin TablePress versão 1.9.2, considere restringir o acesso dos usuários do Editor para mitigar o risco de injeção de CSV até que uma solução seja fornecida pelo fornecedor.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tablepress