Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02019

Опубликовано: 13 мар. 2023
Источник: fstec
CVSS3: 4.8
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость плагина бронирования отелей Solidres системы управления содержимым сайта WordPress существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, межсайтовые сценарные атаки с помощью параметра currency_name

Вендор

Solidres Team

Наименование ПО

Solidres

Версия ПО

до 0.9.4 включительно (Solidres)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- экранирование символов и фильтрация ввода в параметре currency_name POST-запроса перед использованием в коде плагина.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00202
Низкий

4.8 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-1374

CVSS3: 4.4
nvd
почти 3 года назад

The Solidres plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'currency_name' parameter in versions up to, and including, 0.9.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers with administrator privileges to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

github логотип

GHSA-pv8p-73f5-h425

CVSS3: 4.8
github
почти 3 года назад

The Solidres plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'currency_name' parameter in versions up to, and including, 0.9.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers with administrator privileges to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

EPSS

Процентиль: 42%
0.00202
Низкий

4.8 Medium

CVSS3

5.5 Medium

CVSS2