CVE-2022-28221

MITJÀ: (6.1) 

CVSS6: 5.3

El connector CleanTalk per a WordPress és vulnerable a cross-site scripting, causats per una validació incorrecta de l’entrada subministrada per l’usuari per la funció column_ct_comment a /lib/Cleantalk/ApbctWP/FindSpam/ListTable/Comments.php. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant el paràmetre de la pàgina en un URL especialment dissenyat per executar scripts al navegador web d’una víctima en el context de seguretat del lloc web d’allotjament, una vegada que es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• WordPress Anti-Spam by CleanTalk plugin for WordPress 5.148
• WordPress Anti-Spam by CleanTalk plugin for WordPress 5.147
• WordPress Anti-Spam by CleanTalk plugin for WordPress 5.173

Remediació
Actualitzeu a l’última versió de CleanTalk Plguin for WordPress (5.174.1 o posterior), disponible al directori de connectors de WordPress.

Referències

• https://packetstormsecurity.com/files/166542
• https://wordpress.org/plugins/cleantalk-spam-protect/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28221