PT-2021-11428 · Rocketgenius · Gravity Forms
Publicado
2021-01-20
·
Atualizado
2022-05-24
·
CVE-2020-27850
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Rocketgenius Gravity Forms anteriores à 2.4.21
Descrição:
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada no recurso de importação de formulários permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio da importação de um formulário GF. Esse código é interpretado por usuários com funções privilegiadas, como Administrador ou Editor.
Recomendações:
Para versões anteriores à 2.4.21, atualize para a versão 2.4.21 ou posterior para resolver o problema. Como solução temporária, considere restringir a importação de formulários GF para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gravity Forms