CVE-2016-20070
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress Booking Calendar Contact Form w wersji 1.0.23 zawiera luki związane z eskalacją uprawnień oraz przechowywanym skryptowaniem międzywitrynowym (XSS), które pozwalają uwierzytelnionym użytkownikom na modyfikację opcji wtyczki oraz wstrzykiwanie złośliwych skryptów.
Ocena ryzyka
Atakujący z kontami na poziomie subskrybenta mogą wstrzykiwać ładunki XSS, co prowadzi do wykonania dowolnego kodu JavaScript w przeglądarkach administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów weryfikacji uprawnień i sanitizacji parametrów wejściowych.
Oryginalny opis (angielski, źródło NVD)
WordPress Booking Calendar Contact Form 1.0.23 contains privilege escalation and stored cross-site scripting vulnerabilities that allow authenticated users to modify plugin options and inject malicious scripts by failing to verify user privileges and sanitize input parameters. Attackers with subscriber-level accounts can inject XSS payloads through parameters like price, name, calendar_language, and email_confirmation_to_user via admin-ajax.php and admin.php endpoints to execute arbitrary JavaScript in administrator browsers.

