PT-2021-16309 · WordPress · The Ultimate Nofollow

Quentin Villain

Publicado

2021-12-13

Atualizado

2021-12-16

CVE-2021-24817

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

**Nome do software vulnerável e versões afetadas:

Plugin Ultimate NoFollow para WordPress, versões 1.4.8 e anteriores

Descrição:

A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador realizem ataques de Cross-Site Scripting devido à falta de sanitização e escapamento do atributo href nos códigos de atalho do plugin.

Recomendações:

Para as versões 1.4.8 e anteriores do plugin The Ultimate NoFollow para WordPress, considere atualizar para uma versão que corrija esse problema, já que não há correção específica disponível para essas versões.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2021-24817

Produtos afetados

The Ultimate Nofollow

PT-2021-16309 · WordPress · The Ultimate Nofollow

CVE-2021-24817

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4