PT-2021-22555 · WordPress · Hal+1
Publicado
2021-10-15
·
Atualizado
2021-10-22
·
CVE-2021-39349
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do plugin Author Bio Box para WordPress até a 3.3.1, inclusive
Versões do plugin HAL para WordPress até a 2.1.1, inclusive
Descrição:
O problema está relacionado a Stored Cross-Site Scripting devido à validação e sanitização insuficientes de entradas. Isso permite que invasores com acesso de usuário administrativo injetem scripts web arbitrários. A vulnerabilidade afeta instalações multisite nas quais o unfiltered html está desativado para administradores e sites nos quais o unfiltered html está desativado.
Recomendações:
Para as versões do plugin Author Bio Box para WordPress até e incluindo a 3.3.1, atualize para uma versão posterior à 3.3.1 para resolver o problema.
Para as versões do plugin HAL para WordPress até e incluindo a 2.1.1, atualize para uma versão posterior à 2.1.1 para resolver o problema.
Como solução temporária, considere restringir o acesso aos arquivos
~/includes/admin/class-author-bio-box-admin.php e ~/wp-hal.php para minimizar o risco de exploração.Restrinja o uso de unfiltered html para administradores em instalações multisite para reduzir o risco de ataques de Stored Cross-Site Scripting.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Author Bio Box
Hal