PT-2024-4325 · WordPress · Wp Statistics
Tim Coen
·
Publicado
2024-03-11
·
Atualizado
2024-06-09
·
CVE-2024-2194
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin WP Statistics para versões do WordPress até a 14.5, inclusive
Descrição
A vulnerabilidade existe devido à sanitização insuficiente de entradas e à falta de escapamento de saídas, permitindo que um invasor injete scripts web arbitrários nas páginas. Isso pode levar a ataques de Stored Cross-Site Scripting (XSS). A vulnerabilidade pode ser explorada por meio do
parâmetro de pesquisa de URL. Estima-se que mais de 600.000 sites WordPress estejam potencialmente afetados. A exploração da falha não exige que o invasor tenha uma conta existente no site alvo, reduzindo a barreira de entrada para ataques.Recomendações
Para o plugin WP Statistics para versões do WordPress até e incluindo a 14.5, atualize para uma versão superior à 14.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao
parâmetro de pesquisa de URL para minimizar o risco de exploração. Evite usar o parâmetro de pesquisa de URL em páginas afetadas até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Statistics