PT-2022-26341 · WordPress · Simple Basic Contact Form

Yeting Li

Publicado

2022-12-26

Atualizado

2023-01-04

CVE-2022-4226

CVSS v3.1

4.8

Média

Vetor

AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Versões do plugin Simple Basic Contact Form para WordPress anteriores à 20221201

Descrição

A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade unfiltered html está desativada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações.

Recomendações

Para versões anteriores à 20221201, atualize para a versão 20221201 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que a atualização seja aplicada.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2022-4226

Produtos afetados

Simple Basic Contact Form

PT-2022-26341 · WordPress · Simple Basic Contact Form

CVE-2022-4226

Identificadores relacionados

Produtos afetados

Referências · 4