Aggiornamento di sicurezza di WordPress 6.0.3 – 16 vulnerabilità da correggere

L'aggiornamento di sicurezza di WordPress 6.0.3 contiene patch per molte vulnerabilità, la maggior parte delle quali sono di bassa gravità o richiedono un account utente con privilegi elevati o codice vulnerabile aggiuntivo per essere sfruttate.

Vogliamo condividere queste vulnerabilità in modo che tu le conosca e prenda provvedimenti per evitare un sito potenzialmente violato.

1. Scripting cross-site memorizzato autenticato (Contributor+) tramite widget/blocco RSS
Versioni interessate: WordPress Core < 6.0.3 e Gutenberg < 14.3.1
Ricercatore: N/A
ID CVE: In sospeso
Punteggio CVSS: 6,4 (medio)
Vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Versione completamente patchata:  6.0.3
Insieme di modifiche:  https://core.trac.wordpress.org/changeset/54543

Un utente malintenzionato a livello di collaboratore potrebbe creare una pagina su un sito che controllava e che restituiva un codice di errore e uno script dannoso nel Tipo di contenuto Intestazione della risposta.

2. Cross-site scripting archiviato autenticato tramite blocco di ricerca
Versioni interessate: WordPress Core < 6.0.3 e Gutenberg < 14.3.1
Ricercatore: Alex Concha
ID CVE: In sospeso
Punteggio CVSS: 6,4 (medio)
Vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Versione completamente patchata:  6.0.3
Insieme di modifiche:  https://core.trac.wordpress.org/changeset/54543

È possibile per gli utenti che possono modificare i post iniettare JavaScript dannoso tramite gli attributi Colore testo e Colore sfondo del blocco di ricerca.

Descrizione: Cross-site Scripting archiviato autenticato tramite il blocco immagine in primo piano
Versioni interessate: WordPress Core < 6.0.3 e Gutenberg < 14.3.1
Ricercatore: N/A
ID CVE: In sospeso
Punteggio CVSS: 6,4 (medio)
Vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Versione completamente patchata:  6.0.3
Insieme di modifiche: https://core.trac.wordpress.org/changeset/54543