PT-2024-17949 · WordPress · Custom Fonts – Host Your Fonts Locally
James Myers
·
Publicado
2024-05-24
·
Atualizado
2024-05-24
·
CVE-2024-1332
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin “Custom Fonts – Host Your Fonts Locally” para o WordPress, versões até a 2.1.4, inclusive
Descrição
O problema decorre de uma sanitização insuficiente de entradas e de uma falta de escapamento de saídas, permitindo que invasores autenticados com privilégios de autor ou superiores injetem scripts web arbitrários nas páginas por meio do upload de arquivos SVG. Isso permite a execução dos scripts injetados sempre que um usuário acessa uma página afetada.
Recomendações
Para versões até a 2.1.4, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída, a fim de prevenir ataques de Stored Cross-Site Scripting.
Correção
XSS
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Custom Fonts – Host Your Fonts Locally