CVE-2022-40219

MITJÀ: (6.5)

CVSS3: 5.7

El plugin SedLex FavIcon Switcher per WordPress és vulnerable a la falsificació de sol·licituds entre llocs, causada per la validació inadequada de l’entrada subministrada per l’usuari en actualitzar la configuració. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada perquè un administrador autenticat canviï la configuració. Un atacant podria aprofitar aquesta vulnerabilitat per realitzar atacs de scripting entre llocs, enverinament de la cache de la web i altres activitats malicioses.

Sistemes Afectats

• WordPress SedLex FavIcon Switcher plugin for WordPress 1.2.11

Remediació
No hi ha cap remei disponible en data de 21 de setembre de 2022.

Referències

• https://patchstack.com/database/vulnerability/favicon-switcher/wordpress-favicon-switcher-plugin-1-2-11-cross-site-request-forgery-csrf-vulnerability
• https://github.com/wp-plugins/favicon-switcher
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40219