PT-2022-26251 · WordPress · Chained Quiz
Muhammad Zeeshan
+1
·
Publicado
2022-12-02
·
Atualizado
2022-12-05
·
CVE-2022-4210
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Chained Quiz para o WordPress, versões até a 1.3.2, inclusive
Descrição
O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas, permitindo ataques de Cross-Site Scripting refletido. Isso pode ser explorado por meio do parâmetro
dnf na página “chainedquiz list”, permitindo que invasores não autenticados injetem scripts web arbitrários. Os invasores podem induzir os usuários a realizar ações como clicar em um link para executar esses scripts.Recomendações
Para o plugin Chained Quiz para versões do WordPress até a 1.3.2, inclusive, atualize para uma versão posterior à 1.3.2 para resolver o problema. Como solução temporária, considere restringir o acesso à página “chainedquiz list” e evitar o uso do parâmetro
dnf até que um patch esteja disponível.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Chained Quiz