PT-2026-58094 · WordPress · Hi.Events
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Hi.Events versões anteriores a 1.11.0
Description
Atacantes autenticados com permissões de criação ou edição de eventos podem realizar cross-site scripting ao inserir um título de evento malicioso contendo a sequência
</script>. Isso ocorre porque a sequência não é escapada por JSON.stringify() quando incorporada em tags de script inline. Isso permite que o atacante saia do contexto do script dentro do bloco de dados estruturados application/ld+json ou do estado reidratado no lado do servidor, executando HTML e JavaScript arbitrários no navegador de qualquer usuário que visualize a página pública do evento, incluindo visitantes não autenticados e administradores.Recommendations
Atualize para a versão 1.11.0 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hi.Events