PT-2024-14856 · WordPress · Eventon
Miguel Santareno
·
Publicado
2024-01-16
·
Atualizado
2024-01-19
·
CVE-2023-6005
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin EventON para WordPress anteriores à 4.5.5
Versões do plugin EventON para WordPress anteriores à 2.2.7
Descrição
A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting devido à falta de sanitização e escapamento de algumas configurações. Isso pode ocorrer mesmo quando a capacidade unfiltered html está desativada, por exemplo, em configurações multisite.
Recomendações
Para versões anteriores à 4.5.5, atualize para a versão 4.5.5 ou posterior.
Para versões anteriores à 2.2.7, atualize para a versão 2.2.7 ou posterior.
Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que um patch seja aplicado.
Exploit
Correção
Improper Encoding or Escaping of Output
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eventon