PT-2022-13864 · WordPress · Vikbooking Hotel Booking Engine & Pms
Gabriel3476
·
Publicado
2022-05-16
·
Atualizado
2022-05-24
·
CVE-2022-1407
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin VikBooking Hotel Booking Engine & PMS para WordPress, versões anteriores à 1.5.8
Descrição
A vulnerabilidade permite que invasores façam com que um administrador conectado adicione uma campanha de rastreamento com cargas XSS por meio de um ataque CSRF, uma vez que não há verificação CSRF em vigor ao adicionar uma campanha de rastreamento e os campos da campanha não são escapados ao serem exibidos nos atributos.
Recomendações
Para versões anteriores à 1.5.8, atualize para a versão 1.5.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de campanha de rastreamento para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vikbooking Hotel Booking Engine & Pms