PT-2022-21956 · WordPress · Gutenberg
Phoenix
·
Publicado
2022-07-30
·
Atualizado
2022-08-16
·
CVE-2022-33994
CVSS v3.1
3.0
Baixa
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Gutenberg até a 13.7.3 para WordPress
Descrição
A vulnerabilidade permite um ataque XSS armazenado por parte do usuário com a função de Colaborador, por meio de um documento SVG enviado ao recurso “Inserir a partir de URL”. A carga do XSS não é executada no contexto do domínio da instância do WordPress. No entanto, alguns produtos similares bloqueiam tentativas análogas de usuários com privilégios limitados de referenciar documentos SVG, e essa diferença de comportamento pode ter relevância de segurança para alguns administradores de sites WordPress.
Recomendações
Para versões até a 13.7.3, considere desativar o recurso “Inserir a partir de URL” até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de upload de documentos SVG para minimizar o risco de ataques XSS armazenados.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gutenberg