PT-2021-15857 · WordPress · The Bello
M0Ze
+1
·
Publicado
2021-06-01
·
Atualizado
2021-08-12
·
CVE-2021-24320
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
As versões do tema Bello - Directory & Listing para WordPress anteriores à 1.6.0
Descrição
O problema decorre da falha do tema em sanitizar e escapar adequadamente certos parâmetros em sua página de listagem, levando a problemas de Cross-Site Scripting refletido. Os parâmetros afetados incluem
listing list view, bt bb listing field my lat, bt bb listing field my lng, bt bb listing field distance value, bt bb listing field my lat default, bt bb listing field keyword, bt bb listing field location autocomplete, bt bb listing field price range from e bt bb listing field price range to.Recomendações
Para versões anteriores à 1.6.0, atualize para a versão 1.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de listagem ou desativar os parâmetros vulneráveis até que um patch esteja disponível. Evite usar os parâmetros vulneráveis na página de listagem até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Bello