PT-2021-23598 · WordPress · Variation Swatches For Woocommerce
Publicado
2021-12-14
·
Atualizado
2022-08-09
·
CVE-2021-42367
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Variation Swatches para WooCommerce do WordPress até a versão 2.1.1, inclusive
Descrição
A vulnerabilidade permite que invasores injetem scripts web arbitrários por meio de vários parâmetros no arquivo ~/includes/class-menu-page.php, devido à ausência de verificações de autorização na função
tawcvs save settings. Isso permite que usuários autenticados de nível baixo, como assinantes, explorem a vulnerabilidade.Recomendações
Para versões até e incluindo a 2.1.1, atualize para uma versão superior à 2.1.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à função
tawcvs save settings para impedir que usuários autenticados de nível baixo explorem a vulnerabilidade.Correção
Missing Authorization
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Variation Swatches For Woocommerce