Katalog CVE

CVE-2016-20070

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Wtyczka WordPress Booking Calendar Contact Form w wersji 1.0.23 zawiera luki związane z eskalacją uprawnień oraz przechowywanym skryptowaniem międzywitrynowym (XSS), które pozwalają uwierzytelnionym użytkownikom na modyfikację opcji wtyczki oraz wstrzykiwanie złośliwych skryptów.

Ocena ryzyka

Atakujący z kontami na poziomie subskrybenta mogą wstrzykiwać ładunki XSS, co prowadzi do wykonania dowolnego kodu JavaScript w przeglądarkach administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów weryfikacji uprawnień i sanitizacji parametrów wejściowych.

Oryginalny opis (angielski, źródło NVD)

WordPress Booking Calendar Contact Form 1.0.23 contains privilege escalation and stored cross-site scripting vulnerabilities that allow authenticated users to modify plugin options and inject malicious scripts by failing to verify user privileges and sanitize input parameters. Attackers with subscriber-level accounts can inject XSS payloads through parameters like price, name, calendar_language, and email_confirmation_to_user via admin-ajax.php and admin.php endpoints to execute arbitrary JavaScript in administrator browsers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS