CVE-2024-11359

MITJÀ (6,1)

CVSS3: 0,0

El connector Library Bookshelves per a WordPress és vulnerable a una injecció indirecte de scripts reflectits a causa de l’ús de add_query_arg sense escapament adequat a l’URL en totes les versions fins a la 5.8 inclosa. Això fa possible que els atacants no autenticats injectin scripts web arbitraris a les pàgines que s’executen si poden enganyar amb èxit un usuari perquè faci una acció, com ara fer clic en un enllaç.

Sistemes Afectats

• photonicgnostic Library Bookshelves

Remediació
No hi ha cap recurs disponible a partir del 12 de desembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/253dcecb-b88d-423c-8e74-1d59581e2893?source=cve
• https://plugins.trac.wordpress.org/browser/library-bookshelves/tags/5.8/class-bookshelves-settings.php#L171
• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3204540%40library-bookshelves&new=3204540%40library-bookshelves&sfp_email=&sfph_mail=#file1