CVE-2024-12446

MITJÀ (6,4)

CVSS3: 0,0

El connector Post to Pdf per a WordPress és vulnerable a les seqüències d’injeccions indirectes de scripts emmagatzemades mitjançant el codi curt “gmptp_single_post” del connector en totes les versions fins a la 1.0 inclosa, a causa d’una desinfecció insuficient d’entrada i d’escapament de sortida als atributs subministrats per l’usuari. Això fa possible que els atacants autenticats, amb accés a nivell de col·laborador i superior, injectin scripts web arbitraris a les pàgines que s’executaran sempre que un usuari accedeixi a una pàgina injectada.

Sistemes Afectats

• gravitymaster97 Post to Pdf

Remediació
No hi ha cap recurs disponible a partir del 14 de desembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/2774e66c-2920-4578-9ab8-20d7dfd6bd6d?source=cve
• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3207671%40post-to-pdf&new=3207671%40post-to-pdf&sfp_email=&sfph_mail=