CVE-2022-2312

Versões do plugin WordPress “Student Result” ou “Employee Database” anteriores à 1.7.5

A vulnerabilidade permite que invasores façam com que usuários conectados, mesmo com uma função tão baixa quanto a de colaborador, adicionem, editem e excluam alunos por meio de ataques CSRF, devido à ausência de proteção contra CSRF nas ações AJAX. Além disso, a falta de sanitização e escapamento também pode levar a scripts entre sites armazenados (Stored Cross-Site Scripting).

Para versões anteriores à 1.7.5, atualize para a versão 1.7.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às ações AJAX para minimizar o risco de exploração. Além disso, restrinja a função dos colaboradores para impedir que eles adicionem, editem ou excluam alunos até que o problema seja resolvido.