Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el panel de control de los administradores en el plugin Sociable de WordPress (CVE-2021-24612)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/10/2021
Última modificación:
21/10/2021

Descripción

El plugin Sociable de WordPress versiones hasta 4.3.4.1, no sanea o escapa de algunas de sus configuraciones antes de mostrarlas en el panel de control de los administradores, permitiendo a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting contra otros usuarios incluso cuando la capacidad unfiltered_html está deshabilitada

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sociable_project:sociable:*:*:*:*:*:wordpress:*:* 4.3.4.1 (incluyendo)


Referencias a soluciones, herramientas e información