PT-2021-16168 · WordPress · User Registration
Ayecode Ltd
+1
·
Publicado
2021-10-04
·
Atualizado
2021-10-08
·
CVE-2021-24654
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin User Registration para WordPress anteriores à 2.0.2
Descrição
O problema decorre da sanitização inadequada do valor
user registration profile pic url quando enviado por meio da ação AJAX “user registration update profile details”. Isso poderia permitir que qualquer usuário autenticado realizasse ataques Stored Cross-Site (XSS) quando seu perfil fosse visualizado.Recomendações
Para versões anteriores à 2.0.2, atualize para a versão 2.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX
user registration update profile details para minimizar o risco de exploração. Evite usar o valor user registration profile pic url na ação AJAX afetada até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
User Registration