CVE-2022-2432

ALT: (8.8)

CVSS3: 7.7

El plugin Ecwid Ecommerce Shopping Cart per a WordPress és vulnerable a la cross–site request forgery, causada per la validació inadequada de l’entrada subministrada per l’usuari mitjançant la funció ecwid_update_plugin_params. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada per a canviar el ecwid_store_aneu. Un atacant podria aprofitar aquesta vulnerabilitat per a realitzar atacs de scripting entre llocs, enverinament de la memòria cache web i altres activitats malicioses.

Sistemes Afectats

• WordPress Ecwid Ecommerce Shopping Cart plugin for WordPress 4.4.3
• WordPress Ecwid Ecommerce Shopping Cart plugin for WordPress 6.10.23

Remediació
Actualitzi a l’última versió del plugin Ecwid Ecommerce Shopping Cart per a WordPress (6.10.24 o posterior), disponible en el directori de plugins de WordPress.

Referències

• https://packetstormsecurity.com/files/167978
• https://wordpress.org/plugins/ecwid-shopping-cart/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2432