En Análisis

BAIX: (3,5.)

CVSS6: 3.1

El connector StaffList per a WordPress és vulnerable a la falsificació de sol·licituds entre llocs, causada per una validació incorrecta de l’entrada subministrada per l’usuari per la funcionalitat d’eliminació de registres de personal. En persuadir un usuari autenticat de visitar un lloc web maliciós, un atacant remot autenticat podria enviar una sol·licitud HTTP mal formada per eliminar registres. Un atacant podria explotar aquesta vulnerabilitat per realitzar atacs de scripting entre llocs, enverinament per memòria cau web i altres activitats malicioses.

Sistemes Afectats

• WordPress StaffList plugin for WordPress 3.1.2

Remediació
No hi ha cap remei disponible a partir del 2 de maig de 2022.

Referències

• https://packetstormsecurity.com/files/166919
  
• https://wordpress.org/plugins/stafflist/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23060