PT-2024-31295 · Elegant Themes · Divi+2
Craig Smith
+1
·
Publicado
2024-05-10
·
Atualizado
2024-05-14
·
CVE-2024-4490
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do tema Divi da Elegant Themes até a 4.25.0
Versões do tema Extra da Elegant Themes até a 4.25.0
Plugin Divi Page Builder para WordPress até a versão 4.25.0
Descrição
O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado baseado em DOM, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários nas páginas por meio do parâmetro
title. Os scripts injetados serão executados sempre que um usuário acessar a página afetada.Recomendações
Para as versões do tema Divi da Elegant Themes até 4.25.0, atualize para uma versão posterior à 4.25.0 para resolver o problema.
Para versões do tema Extra da Elegant Themes até 4.25.0, atualize para uma versão posterior à 4.25.0 para resolver o problema.
Para versões do plugin Divi Page Builder para WordPress até 4.25.0, atualize para uma versão posterior à 4.25.0 para resolver o problema.
Como solução temporária, considere restringir o acesso ao parâmetro
title para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Divi
Divi Page Builder
Extra