PT-2024-28472 · WordPress · Playlist For Youtube Wordpress Plugin
Erdemstar
·
Publicado
2024-05-29
·
Atualizado
2024-10-03
·
CVE-2024-3937
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Playlist for Youtube para WordPress, versões 1.32 e anteriores
Descrição
O problema diz respeito a um ataque de Cross-Site Scripting armazenado (XSS). Usuários com privilégios elevados, como administradores, podem explorar essa vulnerabilidade mesmo quando a capacidade
unfiltered html está desativada, por exemplo, em configurações multisite. A vulnerabilidade decorre da falha do plugin em sanitizar e escapar algumas de suas configurações.Recomendações
Para as versões 1.32 e anteriores, atualize para uma versão que corrija este problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que um patch esteja disponível. Evite usar entradas potencialmente maliciosas em configurações como Nome da lista de reprodução e Tamanho do vídeo.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Playlist For Youtube Wordpress Plugin