PT-2024-13461 · WordPress · Staff / Employee Business Directory For Active Directory
Pedro José Navas Pérez
·
Publicado
2024-01-16
·
Atualizado
2024-01-23
·
CVE-2023-4757
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões anteriores à 1.2.3 do plugin “Staff / Employee Business Directory for Active Directory” para WordPress
Descrição
O problema decorre da falha do plugin em sanitizar e escapar os dados retornados pelo servidor LDAP antes de exibi-los na página. Isso permite que usuários com controle sobre suas entradas no diretório LDAP injetem código JavaScript malicioso, que poderia ser usado contra usuários com privilégios elevados, como um administrador do site.
Recomendações
Para versões anteriores à 1.2.3, atualize para a versão 1.2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao diretório LDAP para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Staff / Employee Business Directory For Active Directory