PT-2022-27793 · Codelights · The Sidebar Widgets
Marco Wotschka
·
Publicado
2022-12-20
·
Atualizado
2022-12-27
·
CVE-2022-4619
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin “Sidebar Widgets by CodeLights” para o WordPress, versões até a 1.4, inclusive
Descrição
A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS) por meio do parâmetro
Extra CSS class, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado.Recomendações
Para versões até a 1.4, inclusive, considere desativar o parâmetro
Extra CSS class até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às permissões de nível de administrador para minimizar o risco de injeção de scripts web arbitrários.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Sidebar Widgets