PT-2024-37154 · WordPress · Silesia Theme
Francesco Carlucci
·
Publicado
2024-06-28
·
Atualizado
2024-06-28
·
CVE-2024-5788
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Tema Silesia para o WordPress, versões até e incluindo a 1.0.6
Descrição:
O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saída no atributo ‘link’ dentro do shortcode Button do tema, permitindo que invasores autenticados com acesso de nível Contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar uma página infectada.
Recomendações:
Para o tema Silesia para versões do WordPress até a 1.0.6, inclusive, atualize para uma versão que corrija a sanitização insuficiente de entradas e o escape de saída no shortcode Button. Como solução temporária, considere restringir o acesso ao shortcode Button ou desativá-lo até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silesia Theme