PT-2022-25355 · WordPress · Appointment Hour Booking
Andreas Krüger
+1
·
Publicado
2022-11-29
·
Atualizado
2022-12-02
·
CVE-2022-4035
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Appointment Hour Booking para versões do WordPress até a 1.3.72, inclusive
Descrição
O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas, permitindo que invasores não autenticados injetem tags iFrame por meio dos parâmetros do campo
email ou de campos gerais. Isso permite que invasores injetem iFrames ao enviar uma reserva, que serão executados sempre que um usuário acessar a página de detalhes da reserva injetada.Recomendações
Para versões até e incluindo a 1.3.72, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída, a fim de prevenir ataques de injeção de iFrame.
Como solução temporária, considere restringir o acesso à página de detalhes da reserva ou desativar o envio de reservas até que um patch esteja disponível.
Evite usar os parâmetros
email e de campos gerais no plugin afetado até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Appointment Hour Booking