Vulnerabilidad en User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds para WordPress (CVE-2024-5902)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/07/2024
Última modificación:
10/07/2025
Descripción
El complemento User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro de nombre en todas las versiones hasta la 1.0.15 incluida debido a una sanitización de entrada y salida de escape insuficiente. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en respuestas de formularios de comentarios que se ejecutarán cada vez que un usuario con altos privilegios intente verlos.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:monsterinsights:userfeedback:*:*:*:*:lite:wordpress:*:* | 1.0.16 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/userfeedback-lite/tags/1.0.15/includes/frontend/class-userfeedback-frontend.php#L257
- https://www.wordfence.com/threat-intel/vulnerabilities/id/bce9ba42-f574-47c1-9ea5-1e56f9da8e71?source=cve
- https://plugins.trac.wordpress.org/browser/userfeedback-lite/tags/1.0.15/includes/frontend/class-userfeedback-frontend.php#L257
- https://www.wordfence.com/threat-intel/vulnerabilities/id/bce9ba42-f574-47c1-9ea5-1e56f9da8e71?source=cve