PT-2022-9495 · WordPress · Add Subtitle
Francesco Carlucci
·
Publicado
2022-03-14
·
Atualizado
2022-03-20
·
CVE-2021-24897
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Add Subtitle para WordPress anteriores à 1.1.1
Descrição
A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador realizem ataques de Cross-Site Scripting devido à falta de sanitização ou escapamento do campo de subtítulo ao ser exibido na página. Esse campo está disponível apenas no editor clássico.
Recomendações
Para versões do plugin Add Subtitle do WordPress anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do editor clássico ou limitar as funções de colaborador para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Add Subtitle