CVE-2024-10788

ALT (7,2)

CVSS3: 0,0

El connector Activity Log – Monitor & Record User Changes per a WordPress és vulnerable a l’scripting entre llocs emmagatzemats mitjançant els paràmetres d’esdeveniment en totes les versions fins a la 2.11.1 inclosa a causa d’una desinfecció insuficient d’entrada i d’escapament de sortida. Això fa possible que els atacants no autenticats injectin scripts web arbitraris a les pàgines que s’executaran sempre que un usuari administratiu accedeixi a una pàgina injectada.

Sistemes Afectats

• pojome Activity Log – Monitor & Record User Changes

Remediació
No hi ha cap recurs disponible a partir del 21 de novembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/75324bf1-a00e-4da7-8d42-d224c39ceb79?source=cve
• https://plugins.trac.wordpress.org/browser/aryo-activity-log/tags/2.11.0/hooks/class-aal-hook-themes.php#L21
• https://plugins.trac.wordpress.org/browser/aryo-activity-log/tags/2.11.0/hooks/class-aal-hook-themes.php#L18