PT-2024-16457 · WordPress · The Announcement & Notification Banner – Bulletin
Peter Thaleikis
·
Publicado
2024-11-20
·
Atualizado
2024-11-21
·
CVE-2024-10682
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin “The Announcement & Notification Banner – Bulletin” para versões do WordPress até a 3.11.7, inclusive
Descrição
O problema está relacionado a um ataque de Cross-Site Scripting refletido, que ocorre devido ao uso das funções
add query arg e remove query arg sem o escapamento adequado na URL. Isso permite que invasores não autenticados injetem scripts web arbitrários nas páginas, os quais são executados quando um usuário realiza uma ação específica, como clicar em um link.Recomendações
Para versões até a 3.11.7, inclusive, atualize para uma versão superior à 3.11.7 para resolver o problema.
Como solução temporária, considere restringir o acesso às funcionalidades do plugin até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Announcement & Notification Banner – Bulletin