PT-2024-39508 · WordPress · Download Plugins/Themes In Zip From Dashboard

Dale Mavers

Publicado

2024-10-11

Atualizado

2024-10-15

CVE-2024-9232

CVSS v3.1

6.1

Média

Vetor

AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Plugin “Download Plugins and Themes in ZIP from Dashboard” para versões do WordPress até a 1.9.1, inclusive

Descrição

O problema decorre do uso de add query arg sem o escapamento adequado da URL, levando a um ataque de Cross-Site Scripting refletido. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que são executados quando um usuário realiza uma ação específica, como clicar em um link.

Recomendações

Para o plugin “Download Plugins and Themes in ZIP from Dashboard” para versões do WordPress até a 1.9.1, inclusive, atualize para uma versão superior à 1.9.1 para resolver o problema.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2024-9232

Produtos afetados

Download Plugins/Themes In Zip From Dashboard

PT-2024-39508 · WordPress · Download Plugins/Themes In Zip From Dashboard

CVE-2024-9232

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5