Esperti di sicurezza informatica di Wordfence hanno scoperto una vulnerabilità nel plugin Pretty Google Calendar di WordPress: è vulnerabile ad attacchi di tipo Stored Cross-Site Scripting (XSS) e colpisce le versioni dal 1.5.1 alla 1.6.0 del plugin.

La causa di questa vulnerabilità risiede nell’insufficiente sanificazione dell’input e nell’escape dell’output sugli attributi forniti dall’utente. Questo errore consente agli aggressori autenticati con autorizzazioni a livello di collaboratore e superiori di inserire script web arbitrari nelle pagine coinvolte. Gli script dannosi verranno eseguiti ogni volta che un utente accede a tali pagine.

La vulnerabilità è stata classificata di media gravità e sanata nelle versioni 1.6.0 e successive. Pertanto, gli esperti consigliano vivamente a tutti gli utenti di aggiornare immediatamente Pretty Google Calendar alla versione più recente disponibile.

 

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/pretty-google-calendar/pretty-google-calendar-151-authenticatedcontributor-stored-cross-site-scripting-via-pretty-google-calendar-shortcode

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE