PT-2024-37519 · WordPress · Stackable – Page Builder Gutenberg Blocks
Craig Smith
+1
·
Publicado
2024-06-28
·
Atualizado
2024-06-28
·
CVE-2024-6296
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
O plugin “The Stackable – Page Builder Gutenberg Blocks” para versões do WordPress até a 3.13.1, inclusive
Descrição:
O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e ao escape de saída, especificamente por meio do parâmetro
data-caption. Isso permite que invasores autenticados com acesso de nível Contributor ou superior injetem scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar uma página infectada.Recomendações:
Para versões até e incluindo a 3.13.1, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao parâmetro
data-caption para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Stackable – Page Builder Gutenberg Blocks