PT-2020-7488 · WordPress · Hms Testimonials
Adéla Goldová
·
Publicado
2020-01-30
·
Atualizado
2020-02-03
·
CVE-2013-4241
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do plugin HMS Testimonials anteriores à 2.0.11
Descrição:
A vulnerabilidade permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio de vários parâmetros, incluindo
name, image, url, testimonial, date format, em vários formulários e páginas de configurações, como a página “hms-testimonials-addnew”, a página “hms-testimonials-settings”, a página “hms-testimonials-settings-fields” e a página “hms-testimonials-templates-new”.Recomendações:
Para versões anteriores à 2.0.11, atualize para a versão 2.0.11 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso aos parâmetros vulneráveis, como
name, image, url, testimonial e date format, nos formulários e páginas de configurações afetados até que um patch seja aplicado.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hms Testimonials