PT-2022-16633 · WordPress · Anymind Widget
Sho Sakata
·
Publicado
2022-07-18
·
Atualizado
2026-04-08
·
CVE-2022-2435
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin AnyMind Widget para WordPress, versões até a 1.1, inclusive
Descrição
O problema se deve à falta de proteção por nonce na função
createDOMStructure() encontrada no arquivo ~/anymind-widget-id.php. Isso permite que invasores não autenticados injetem scripts maliciosos na página, desde que consigam induzir o administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até a 1.1, inclusive, considere desativar a função
createDOMStructure() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo ~/anymind-widget-id.php para minimizar o risco de injeção de scripts maliciosos. Evite realizar ações que possam ser acionadas por um invasor, como clicar em links suspeitos, para impedir uma possível exploração.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Anymind Widget