PT-2024-11503 · WordPress · The Super Forms - Drag & Drop Form Builder
Koutrouss Naddara
·
Publicado
2024-01-16
·
Atualizado
2024-01-22
·
CVE-2022-0402
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
As versões do plugin Super Forms - Drag & Drop Form Builder para WordPress anteriores à 6.0.4
Descrição
O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. O parâmetro
bob czy panstwa sprawa zostala rozwiazana não é escapado corretamente antes de ser exibido em um atributo por meio da ação AJAX “super language switcher”. Essa ação também carece de proteção contra CSRF, facilitando que invasores tenham como alvo qualquer usuário.Recomendações
Para versões anteriores à 6.0.4, atualize para a versão 6.0.4 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à ação AJAX “super language switcher” até que um patch seja aplicado.
Evite usar o parâmetro
bob czy panstwa sprawa zostala rozwiazana no endpoint AJAX afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Super Forms - Drag & Drop Form Builder