BDU:2022-06603

Опубликовано: 30 дек. 2019

Источник: fstec

CVSS3: 7.1

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость реализации функции Export Users (Экспорт пользователей) плагина WP Users Exporter системы управления содержимым сайта WordPress связана с отсутствием нейтрализации элементов в файле CSV. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

WP Users Exporter

Версия ПО

до 1.4.2 включительно (WP Users Exporter)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Организационные меры:

1. Ограничить использование программного средства

2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 78%

0.01163

Низкий

7.1 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2022-3026

CVSS3: 6.5

nvd

больше 3 лет назад

The WP Users Exporter plugin for WordPress is vulnerable to CSV Injection in versions up to, and including, 1.4.2 via the 'Export Users' functionality. This makes it possible for authenticated attackers, such as a subscriber, to add untrusted input into profile information like First Names that will embed into the exported CSV file triggered by an administrator and can result in code execution when these files are downloaded and opened on a local system with a vulnerable configuration.

GHSA-8r6q-2xj9-wv7v

CVSS3: 8.8

github