PT-2022-26241 · WordPress · Chained Quiz
Muhammad Zeeshan
+1
·
Publicado
2022-12-02
·
Atualizado
2022-12-05
·
CVE-2022-4208
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Chained Quiz para versões do WordPress até a 1.3.2, inclusive
Descrição
O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários nas páginas por meio do parâmetro
datef na página “chainedquiz list”, podendo ser executados se um usuário for induzido a realizar uma ação como clicar em um link.Recomendações
Para versões até a 1.3.2, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída.
Como solução temporária, considere restringir o acesso à página “chainedquiz list” ou desativar o uso do parâmetro
datef até que um patch esteja disponível.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Chained Quiz