Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Common Tools for Site para WordPress (CVE-2024-9115)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/09/2024
Última modificación:
01/10/2024

Descripción

El complemento Common Tools for Site para WordPress es vulnerable a Cross-Site Scripting Almacenado mediante cargas de archivos SVG en todas las versiones hasta la 1.0.2 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de autor o superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:chetanvaghela:common_tools_for_site:*:*:*:*:*:wordpress:*:* 1.0.2 (incluyendo)