PT-2022-13332 · WordPress · The Profile Builder – User Profile & User Registration Forms
Chloe Chamberland
·
Publicado
2022-02-24
·
Atualizado
2022-03-03
·
CVE-2022-0653
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin do WordPress “The Profile Builder – User Profile & User Registration Forms”, versões até e incluindo a 3.6.1
Descrição
O problema decorre da falta de escapamento e sanitização do parâmetro
site url encontrado no arquivo ~/assets/misc/fallback-page.php. Isso permite que invasores injetem scripts web arbitrários em uma página, os quais são executados sempre que um usuário clica em um link especialmente criado por um invasor.Recomendações
Para versões até e incluindo a 3.6.1, atualize para uma versão que inclua as correções necessárias de escapamento e sanitização para o parâmetro
site url, a fim de prevenir ataques de Cross-Site Scripting.Como solução temporária, considere restringir o acesso ao arquivo ~/assets/misc/fallback-page.php até que um patch esteja disponível.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Profile Builder – User Profile & User Registration Forms