PT-2022-16220 · WordPress · Yaysmtp
0Xshdax
+1
·
Publicado
2022-08-08
·
Atualizado
2022-08-12
·
CVE-2022-2371
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin YaySMTP para WordPress anteriores à 2.2.1
Descrição
O problema diz respeito à falta de autorização adequada ao salvar configurações, permitindo que usuários com uma função de baixo nível, como um assinante, as modifiquem. Isso pode ser explorado para realizar um ataque de Stored Cross-Site Scripting devido à falta de escapamento adequado nas configurações.
Recomendações
Para versões do plugin YaySMTP para WordPress anteriores à 2.2.1, atualize para a versão 2.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de configurações para impedir alterações não autorizadas até que a atualização possa ser aplicada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yaysmtp