De WordPress 6.0.3 beveiligingsupdate bevat patches voor vele kwetsbaarheden, waarvan de meeste niet ernstig zijn of een zeer bevoorrecht gebruikersaccount of aanvullende kwetsbare code vereisen om te kunnen worden misbruikt.
We willen deze kwetsbaarheden met u delen zodat u ze kent en actie kunt ondernemen om een mogelijk gehackte site te voorkomen.
1. Authenticated (Contributor+) Stored Cross-Site Scripting via RSS Widget/Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: N/A
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543
Een aanvaller op bijdragerniveau kon een pagina maken op een site die hij beheerde die een foutcode retourneerde en een kwaadaardig script in de Content-Type antwoordkop.
2. Authenticated Stored Cross-Site Scripting via Search Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: Alex Concha
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543
Gebruikers die berichten kunnen bewerken, kunnen kwaadaardige JavaScript injecteren via de attributen Tekstkleur en Achtergrondkleur van het zoekblok.
Description: Authenticated Stored Cross-Site Scripting via Featured Image Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: N/A
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543
