PT-2021-15901 · WordPress · Admin Columns
Johannes Lauinger
+1
·
Publicado
2021-07-12
·
Atualizado
2021-07-15
·
CVE-2021-24365
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Admin Columns para WordPress – Versões gratuitas anteriores à 4.3.2
Plugin Admin Columns para WordPress – Versões Pro anteriores à 5.5.2
Descrição
A vulnerabilidade permite a configuração de colunas individuais para tabelas, sendo que o tipo de coluna “Campo personalizado” possibilita a escolha de uma coluna arbitrária do banco de dados para exibição na tabela. No entanto, não há escape aplicado ao conteúdo das colunas “Campo personalizado”.
Recomendações
Para as versões gratuitas do plugin Admin Columns para WordPress anteriores à 4.3.2, atualize para a versão 4.3.2 ou posterior.
Para as versões Pro do plugin Admin Columns para WordPress anteriores à 5.5.2, atualize para a versão 5.5.2 ou posterior.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Admin Columns