PT-2024-15730 · WordPress · Meks Smart Social Widget
Arpeet Rathi
+1
·
Publicado
2024-01-26
·
Atualizado
2024-02-01
·
CVE-2024-0664
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Meks Smart Social Widget para o WordPress, versões até a 1.6.3, inclusive
Descrição
O problema está relacionado a Stored Cross-Site Scripting (XSS) via o Meks Smart Social Widget, causado por sanitização insuficiente de entradas e escapamento insuficiente de saídas. Isso permite que invasores autenticados com acesso de nível de administrador injetem scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar uma página infectada. O problema afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado.
Recomendações
Para o plugin Meks Smart Social Widget para versões do WordPress até e incluindo a 1.6.3, atualize para uma versão posterior à 1.6.3 para resolver o problema.
Como solução temporária, considere restringir o acesso ao Meks Smart Social Widget para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Meks Smart Social Widget