CVE-2019-25744
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
WordPress Popup Builder w wersji 3.49 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez wyjście z tagów opcji w parametrze post_title.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do wykonania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia kontroli nad kontem użytkownika.
Rekomendacja
Zaleca się aktualizację wtyczki Popup Builder do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
WordPress Popup Builder 3.49 contains a persistent cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by breaking out of option tags in the post_title parameter. Attackers can submit crafted POST requests to the post.php endpoint with script payloads in the post_title field that execute when pages or posts display popup selections.

