PT-2022-15410 · WordPress · Request A Quote
Benachi
·
Publicado
2022-07-25
·
Atualizado
2022-07-29
·
CVE-2022-2240
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin “Request a Quote” do WordPress, versões 2.3.7 e anteriores
Descrição
A vulnerabilidade permite que usuários não autenticados anexem um arquivo CSV malicioso a um orçamento. Isso pode resultar em uma injeção de CSV assim que um administrador baixar e abrir o arquivo. O problema decorre da falta de validação dos arquivos CSV enviados.
Recomendações
Para as versões 2.3.7 e anteriores, atualize para uma versão que inclua a correção para este problema, pois a versão atual não valida os arquivos CSV enviados, representando um risco de injeção de CSV.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Request A Quote