Vulnerabilidad en los valores de Video Link en el plugin Image Hover Effects Ultimate para WordPress (CVE-2022-2936)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

06/09/2022

Última modificación:

13/09/2022

Descripción

El plugin Image Hover Effects Ultimate para WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado por medio de valores de Video Link que pueden ser añadidos a un Image Hover en versiones hasta, e incluyendo 9.7.3, debido a un saneo insuficiente de entrada y escape de salida. Esto hace posible a atacantes autenticados inyectar scripts web arbitrarios en las páginas que ejecutarán cada vez que un usuario acceda a una página inyectada. Por defecto, el plugin sólo permite a administradores el acceso a la edición de Image Hovers, sin embargo, si un administrador del sitio hace que las características del plugin estén disponibles para usuarios menos privilegiados mediante la configuración "Who Can Edit?" entonces esto puede ser explotado por esos usuarios.<br />

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno