Wtyczka TC Testimonials dla WordPressa w wersji do 1.1.1 zawiera podatność typu Stored XSS, umożliwiającą przechowywanie złośliwego kodu skryptowego po stronie serwera. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Imran Emu TC Testimonials allows Stored XSS. This issue affects TC Testimonials: from n/a through 1.1.1.
Podatność wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej (CWE-79). Atakujący może wstrzyknąć złośliwy kod JavaScript do pól obsługiwanych przez wtyczkę, który następnie jest trwale zapisywany w bazie danych. Przy każdym wyświetleniu zainfekowanej strony złośliwy skrypt jest wykonywany w przeglądarce ofiary bez jej wiedzy.
Atakujący może przejąć sesje zalogowanych użytkowników (w tym administratorów), wykonywać działania w ich imieniu, wykradać dane uwierzytelniające lub wprowadzać nieautoryzowane modyfikacje w witrynie. Ze względu na zmieniony zakres (S:C) skutki mogą wykraczać poza samą aplikację.
Należy zaktualizować wtyczkę TC Testimonials do wersji wyższej niż 1.1.1. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta oraz w bazie Patchstack.
Wtyczka WordPress TC Testimonials autorstwa Imran Emu, wersje od początku do 1.1.1 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H