PT-2024-15907 · WordPress · User Feedback – Create Interactive Feedback Form
Gregxsunday
+1
·
Publicado
2024-02-21
·
Atualizado
2024-02-22
·
CVE-2024-0903
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin “User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds” para o WordPress, versões 1.0.13 e anteriores
Descrição
O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários na página de envio de feedback, os quais serão executados quando um usuário clicar no link enquanto pressiona a tecla Command. O valor
page submitted link é especificamente vulnerável a esse tipo de ataque.Recomendações
Para as versões 1.0.13 e anteriores, atualize para uma versão posterior à 1.0.13 para resolver o problema.
Como solução temporária, considere desativar a página de envio de feedback até que um patch esteja disponível.
Restrinja o acesso ao valor
link de page submitted para minimizar o risco de exploração.Evite usar o valor
link na página de envio de feedback até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
User Feedback – Create Interactive Feedback Form