PT-2025-7401 · WordPress · Wpupper Share Buttons
Noah Stead
+1
·
Publicado
2025-02-21
·
Atualizado
2025-02-25
·
CVE-2024-13883
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin WPUpper Share Buttons para WordPress, versões até e incluindo a 3.51
Descrição
O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta na função
save custom css request. Isso permite que atacantes não autenticados injetem CSS personalizado e modifiquem um site ao induzir um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até e incluindo a 3.51, atualize para uma versão que contenha a correção para a validação de nonce ausente ou incorreta na função
save custom css request.
Como medida temporária, considere restringir o acesso à função save custom css request até que uma correção esteja disponível.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpupper Share Buttons