PT-2024-3429 · WordPress+1 · Wordpress+1
John Blackbourn
+2
·
Publicado
2024-04-09
·
Atualizado
2026-01-05
·
CVE-2024-4439
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Versões do WordPress Core 6.0 a 6.0.7
Versões do WordPress Core 6.1 a 6.1.5
Versões do WordPress Core 6.2 a 6.2.4
Versões do WordPress Core 6.3 a 6.3.3
Versões do WordPress Core 6.4 a 6.4.3
Versões do WordPress Core 6.5 a 6.5.2
Descrição:
O problema está relacionado a uma falha de Cross-Site Scripting (XSS) armazenada no WordPress Core, especificamente no bloco Avatar. Essa vulnerabilidade permite que invasores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A falha se deve a uma escapada de saída insuficiente no nome de exibição. Tanto invasores não autenticados quanto autenticados podem explorar essa vulnerabilidade em diversas circunstâncias.
Recomendações:
Para as versões 6.0 a 6.0.7 do WordPress Core, atualize para uma versão posterior à 6.0.7 ou desative o bloco Avatar até que um patch esteja disponível.
Para as versões 6.1 a 6.1.5 do WordPress Core, atualize para uma versão posterior à 6.1.5 ou desative o bloco Avatar até que um patch esteja disponível.
Para as versões 6.2 a 6.2.4 do WordPress Core, atualize para uma versão posterior à 6.2.4 ou desative o bloco Avatar até que um patch esteja disponível.
Para as versões do WordPress Core 6.3 a 6.3.3, atualize para uma versão posterior à 6.3.3 ou desative o bloco Avatar até que uma correção esteja disponível.
Para as versões do WordPress Core 6.4 a 6.4.3, atualize para uma versão posterior à 6.4.3 ou desative o bloco Avatar até que uma correção esteja disponível.
Para as versões do WordPress Core 6.5
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Wordpress