PT-2022-23367 · Amasty+1 · Amasty Blog Pro+1
Marcin Wägåowski
·
Publicado
2022-11-29
·
Atualizado
2022-12-02
·
CVE-2022-36433
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Amasty Blog Pro versão 2.10.3
Descrição
A funcionalidade de criação de posts no plugin Amasty Blog Pro para Magento 2 permite a injeção de código JavaScript nos campos
short content e full content, levando a ataques XSS contra usuários do painel de administração por meio dos endpoints “posts/preview” ou “posts/save”.Recomendações
Para o Amasty Blog Pro versão 2.10.3, considere desativar a funcionalidade de criação de posts de blog até que um patch esteja disponível para prevenir ataques XSS. Restrinja o acesso aos endpoints “posts/preview” e “posts/save” para minimizar o risco de exploração. Evite usar os campos
short content e full content no plugin afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Amasty Blog Pro
Magento 2