PT-2026-60436 · WordPress · Wpforo Forum
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
wpForo Forum plugin for WordPress versões anteriores a 3.1.2
Descrição
Ocorre Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de assinante ou superior podem injetar scripts web arbitrários em páginas. O problema reside no campo de perfil
location, onde a função sanitize text field() não codifica aspas duplas. Isso permite que um atacante escape do contexto do atributo href e injete atributos de manipuladores de eventos, que são executados quando um usuário acessa a página afetada.Recomendações
Atualize o plugin para a versão 3.1.2 ou posterior.
Como mitigação temporária, restrinja a capacidade de usuários com nível de assinante de editar o campo de perfil
location.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpforo Forum