PT-2022-16590 · WordPress · Visual Composer Website Builder
Zhouyuan Yang
·
Publicado
2022-09-06
·
Atualizado
2022-09-12
·
CVE-2022-2430
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Visual Composer Website Builder para o WordPress, versões até a 45.0, inclusive
Descrição
O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas no recurso “Bloco de Texto”, permitindo que invasores autenticados com acesso ao editor do Visual Composer injetem scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar uma página infectada.
Recomendações
Para versões até e incluindo a 45.0, atualize para uma versão que corrija a sanitização insuficiente de entradas e o escape de saída no recurso ‘Bloco de Texto’ para prevenir ataques de cross-site scripting armazenados.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Visual Composer Website Builder