PT-2021-16010 · WordPress · St-Daily-Tip
Akash Rajendra Patil
·
Publicado
2021-10-25
·
Atualizado
2023-02-15
·
CVE-2021-24487
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin St-Daily-Tip para WordPress, versões 4.7 e anteriores
Descrição
O problema está relacionado à falta de verificação CSRF ao salvar a configuração “Texto padrão a ser exibido se não houver dicas”, bem como à sanitização e escape insuficientes antes da exibição na página. Isso poderia permitir que um invasor fizesse com que administradores conectados definissem uma carga maliciosa, levando a um problema de Stored Cross-Site Scripting.
Recomendações
Para as versões 4.7 e anteriores do plugin St-Daily-Tip para WordPress, considere desativar a configuração “Texto padrão a ser exibido se não houver dicas” até que um patch esteja disponível para evitar uma possível exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
St-Daily-Tip