CVE

Vulnerabilidad en Plugin Event Registration Calendar By vcita y en el plugin Online Payments – Get Paid with PayPal, Square & Stripe (CVE-2023-2406)

Severidad:
MEDIA
Type:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/06/2023
Última modificación:
07/11/2023

Descripción

El plugin Event Registration Calendar By vcita, versiones hasta la 3.9.1 inlcusive, y el plugin Online Payments – Get Paid with PayPal, Square & Stripe, para WordPress son vulnerables a Cross-Site Scripting almacenado a través del parámetro "email" en versiones hasta la 1.3.1 inclusive, debido a un insuficiente saneamiento de entrada y escape de salida. Esto hace posible que atacantes autenticados con la capacidad "edit_posts", como los contribuidores y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vcita:event_registration_calendar_by_vcita:*:*:*:*:*:wordpress:*:* 3.9.1 (incluyendo)
cpe:2.3:a:vcita:online_payments_-_get_paid_with_paypal\,_square_\&_stripe:*:*:*:*:*:wordpress:*:* 1.3.1 (incluyendo)


Ir arriba