PT-2022-19030 · Motopress · Motopress Timetable/Event Schedule
Mostafa Farzaneh
·
Publicado
2022-08-16
·
Atualizado
2022-08-19
·
CVE-2022-2844
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
MotoPress Timetable and Event Schedule, versões até 1.4.06
Descrição
Foi identificada uma vulnerabilidade no componente Calendar Handler do MotoPress Timetable and Event Schedule. O problema afeta uma parte desconhecida do arquivo “/wp/?cpmvc id=1&cpmvc do action=mvparse&f=datafeed&calid=1&month index=1&method=adddetails&id=2”. A manipulação dos argumentos
Subject, Location ou Description leva a um ataque de cross-site scripting. É possível iniciar o ataque remotamente.Recomendações
Para versões do MotoPress Timetable and Event Schedule até a 1.4.06, considere desativar o componente Calendar Handler ou restringir o acesso ao arquivo afetado até que um patch esteja disponível. Como solução temporária, evite usar os argumentos
Subject, Location ou Description no endpoint da API afetado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Motopress Timetable/Event Schedule