PT-2021-15850 · WordPress · Wp Prayer
Bastijn Ouwendijk
·
Publicado
2021-06-01
·
Atualizado
2021-06-11
·
CVE-2021-24313
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin WP Prayer para WordPress anteriores à 1.6.2
Descrição
O plugin WP Prayer para WordPress oferece funcionalidades para armazenar e listar pedidos de oração/louvor em um site WordPress. Um usuário autenticado do WordPress pode preencher um formulário para solicitar uma oração, que possui vários campos. Os campos
prayer request e praise request não utilizam validação de entrada adequada, permitindo que sejam usados para armazenar cargas de XSS.Recomendações
Para versões do plugin WP Prayer para WordPress anteriores à 1.6.2, atualize para a versão 1.6.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao formulário de pedido de oração para minimizar o risco de exploração. Evite usar os campos
pedido de oração e pedido de louvor no formulário afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Prayer