CVE-2023-0937

MITJÀ: (6,4)

CVSS3: 6,2

El plugin VK All in One Expansion Unit per WordPress és vulnerable a seqüències d’ordres en llocs creuats. Això estaria causat per la validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant el paràmetre w_clock per injectar un script maliciós en una pàgina Web que s’executaria des del navegador Web d’una víctima dins del context de seguretat del lloc web d’allotjament una vegada que es visualitza la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• WordPress VK All in One Expansion Unit Plugin for WordPress 9.87.1.0

Remediació
No hi ha recursos disponibles amb data 21 de febrer del 2023.

Referències

• https://wpscan.com/vulnerability/5110ff02-c721-43eb-b13e-50aca25e1162
• https://wordpress.org/plugins/vk-all-in-one-expansion-unit/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0937