PT-2021-15846 · WordPress · Weekly Schedule
Viktor Markopoulos
·
Publicado
2021-06-01
·
Atualizado
2021-06-09
·
CVE-2021-24309
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Weekly Schedule para WordPress anteriores à 3.4.3
Descrição
O problema diz respeito ao campo de entrada “Nome da programação” nas opções gerais do plugin, que não sanitizava adequadamente os dados inseridos. Isso permitia que um usuário injetasse código JavaScript usando as tags HTML
Recomendações
Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao campo de entrada “Nome da programação” para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Weekly Schedule