PT-2020-13019 · Catch Themes · Catch Breadcrumb
Publicado
2020-04-23
·
Atualizado
2020-04-30
·
CVE-2020-12054
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Catch Breadcrumb anteriores à 1.5.4
Descrição
A vulnerabilidade permite um ataque XSS refletido por meio do parâmetro
s, que corresponde a uma consulta de pesquisa. Isso afeta não apenas o plugin Catch Breadcrumb, mas também 16 temas do mesmo autor, caso o plugin esteja ativado. Esses temas incluem Alchemist, Alchemist PRO, Izabel, Izabel PRO, Chique, Chique PRO, Clean Enterprise, Clean Enterprise PRO, Bold Photography PRO, Intuitive PRO, Devotepress PRO, Clean Blocks PRO, Foodoholic PRO, Catch Mag PRO, Catch Wedding PRO e Higher Education PRO.Recomendações
Para versões anteriores à 1.5.4, atualize o plugin Catch Breadcrumb para a versão 1.5.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro
s nas consultas de pesquisa até que o plugin seja atualizado.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Catch Breadcrumb