Katalog CVE

CVE-2025-14042

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Motoryzacyjny motyw WordPress dla dealerów samochodowych jest podatny na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe pole 'Project Details' w elementach portfolio w wersjach do 13.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów dostarczanych przez użytkowników.

Ocena ryzyka

Atakujący z uprawnieniami na poziomie współpracownika lub wyższymi mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony. Może to prowadzić do kradzieży danych lub przejęcia sesji użytkowników.

Rekomendacja

Zaleca się aktualizację motywu do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji i ucieczki dla danych wejściowych w niestandardowych polach. Należy również ograniczyć dostęp do panelu administracyjnego tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Automotive Car Dealership Business WordPress Theme for WordPress is vulnerable to Stored Cross-Site Scripting via the 'Project Details' custom field in Portfolio Items in all versions up to, and including, 13.4.1. This is due to insufficient input sanitization and output escaping on user-supplied attributes in the 'project_details' custom field. This makes it possible for authenticated attackers, with contributor-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS