PT-2024-32042 · WordPress · Import/Export Users/Customers Plugin For Wordpress
Quanhx
+1
·
Publicado
2024-05-15
·
Atualizado
2024-05-15
·
CVE-2024-4656
CVSS v3.1
4.4
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin “Import and export users and customers” para versões do WordPress até a 1.26.6.1, inclusive
Descrição
A vulnerabilidade decorre de uma sanitização insuficiente de entradas e de uma escapagem insuficiente de saídas, permitindo que invasores autenticados com acesso de administrador ou superior injetem scripts web arbitrários nas páginas por meio do cabeçalho do agente do usuário. Isso permite a execução dos scripts injetados sempre que um usuário acessar uma página afetada.
Recomendações
Para versões até a 1.26.6.1, inclusive, atualize para uma versão superior à 1.26.6.1 para resolver o problema. Como solução temporária, considere restringir o acesso de administrador apenas a usuários confiáveis até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Import/Export Users/Customers Plugin For Wordpress