PT-2022-9450 · WordPress · Simple Download Monitor

Apple502J

Publicado

2022-01-24

Atualizado

2022-01-27

CVE-2021-24694

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Versões do plugin Simple Download Monitor para WordPress anteriores à 3.9.11

Descrição

A vulnerabilidade permite que usuários com uma função tão baixa quanto a de Colaborador realizem um ataque de Stored Cross-Site Scripting. Isso pode ser feito por meio de dois códigos de atalho:

o shortcode sdm download, em que o argumento color ou css class é vulnerável,
o shortcode sdm search form, em que o argumento class ou placeholder é vulnerável.

Recomendações

Para versões anteriores à 3.9.11, atualize para a versão 3.9.11 ou posterior para resolver o problema.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2021-24694

Produtos afetados

Simple Download Monitor

PT-2022-9450 · WordPress · Simple Download Monitor

CVE-2021-24694

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4