CVE-2024-11781

MITJÀ (6,4)

CVSS3: 0,0

El connector Smart Agenda – Prize de rendez-vous en ligne per a WordPress és vulnerable a l’emmagatzematge de seqüències dinjeccions indirectes de scripts mitjançant el codi curt “smartagenda” del connector en totes les versions fins a la 4.6 inclosa a causa d’una desinfecció insuficient d’entrada i d’escapament de sortida dels atributs subministrats a l’usuari. Això fa possible que els atacants autenticats, amb accés a nivell de col·laborador i superior, injectin scripts web arbitraris a les pàgines que s’executaran sempre que un usuari accedeixi a una pàgina injectada.

Sistemes Afectats

• smartagenda Smart Agenda – Prise de rendez-vous en ligne

Remediació
No hi ha cap recurs disponible a partir del 12 de desembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/1a7bb274-9bbf-4d78-ad81-0e7ac6b7b265?source=cve
• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3201483%40smart-agenda-prise-de-rendez-vous-en-ligne&new=3201483%40smart-agenda-prise-de-rendez-vous-en-ligne&sfp_email=&sfph_mail=