PT-2024-15119 · WordPress · Wordpress
Akbar Kustirama
·
Publicado
2024-02-05
·
Atualizado
2024-02-09
·
CVE-2023-6884
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin do WordPress até a 3.1, inclusive
Descrição
O plugin está vulnerável a Stored Cross-Site Scripting (XSS) por meio de seu shortcode devido à sanitização insuficiente de entradas e à falta de escapamento de saídas no atributo
place id. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar uma página infectada.Recomendações
Para versões até a 3.1, inclusive, considere desativar a funcionalidade do shortcode até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a páginas que usam o shortcode vulnerável para minimizar o risco de injeção de scripts web arbitrários. Evite usar o atributo
place id no shortcode até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wordpress