PT-2024-37754 · WordPress · Wp Total Branding
Artem Polynko
·
Publicado
2024-07-12
·
Atualizado
2024-07-12
·
CVE-2024-6625
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
WP Total Branding – Solução completa de personalização para o WordPress (plug-in), versões anteriores à 1.2
Descrição
O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas nas configurações de administração, permitindo que invasores autenticados com permissões de nível de administrador injetem scripts web arbitrários nas páginas. Isso afeta instalações multisite e instalações nas quais o unfiltered html foi desativado, possibilitando que os scripts injetados sejam executados sempre que um usuário acessar uma página afetada.
Recomendações
Para versões anteriores à 1.2, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir as permissões de nível de administrador ou desativar as configurações de administração vulneráveis até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Total Branding