Katalog CVE

CVE-2021-47984

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WordPress WP24 Domain Check w wersji 1.6.2 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów poprzez pole 'fieldnameDomain'. Atakujący mogą wstrzykiwać ładunki JavaScript przez formularz ustawień w pliku options.php, które wykonują się w przeglądarkach administratorów przeglądających stronę ustawień.

Ocena ryzyka

Podatność ta stwarza ryzyko wykonania złośliwego kodu w przeglądarkach administratorów, co może prowadzić do kradzieży danych lub przejęcia kontroli nad kontem administratora. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem ich systemów.

Rekomendacja

Zaleca się aktualizację wtyczki WP24 Domain Check do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć wszelkie inne potencjalne zagrożenia.

Oryginalny opis (angielski, źródło NVD)

WordPress Plugin WP24 Domain Check 1.6.2 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted input to the fieldnameDomain parameter. Attackers can inject JavaScript payloads through the plugin settings form at options.php that execute in the browsers of administrators viewing the settings page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS