L'aggiornamento di sicurezza di WordPress 6.0.3 contiene patch per molte vulnerabilità, la maggior parte delle quali sono di bassa gravità o richiedono un account utente altamente privilegiato o codice vulnerabile aggiuntivo per essere sfruttate.
Vogliamo condividere queste vulnerabilità in modo che possiate conoscerle e agire per evitare un sito potenzialmente violato.
1. Authenticated (Contributor+) Stored Cross-Site Scripting via RSS Widget/Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: N/A
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543
Un attaccante a livello di contributore potrebbe creare una pagina su un sito da lui controllato che restituisce un codice di errore e uno script dannoso nel file Content-Type intestazione della risposta.
2. Authenticated Stored Cross-Site Scripting via Search Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: Alex Concha
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543
È possibile per gli utenti che possono modificare i post iniettare JavaScript dannoso tramite gli attributi Colore del testo e Colore di sfondo del blocco di ricerca.
Description: Authenticated Stored Cross-Site Scripting via Featured Image Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: N/A
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543
