Atualização de Segurança do WordPress 6.0.3 – 16 Vulnerabilidades que Precisam Ser Corrigidas

A atualização de segurança do WordPress 6.0.3 contém patches para muitas vulnerabilidades, a maioria das quais são de baixa gravidade ou exigem uma conta de usuário altamente privilegiada ou código vulnerável adicional para serem exploradas.

Queremos compartilhar essas vulnerabilidades para que você as conheça e tome medidas para evitar um site potencialmente invadido.

1. Script entre sites armazenado autenticado (Colaborador +) via widget / bloco RSS
Versões afetadas: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Investigador: N/A
ID CVE: Pendente
Pontuação CVSS: 6.4 (Médio)
Vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Versão totalmente corrigida:  6.0.3
Conjunto de alterações:  https://core.trac.wordpress.org/changeset/54543

Um invasor de nível de colaborador pode criar uma página em um site que ele controlava que retornava um código de erro e um script malicioso no Tipo de conteúdo resposta.

2. Script entre sites armazenado autenticado via bloco de pesquisa
Versões afetadas: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Investigador: Alex Concha
ID CVE: Pendente
Pontuação CVSS: 6.4 (Médio)
Vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Versão totalmente corrigida:  6.0.3
Conjunto de alterações:  https://core.trac.wordpress.org/changeset/54543

É possível que os usuários que podem editar postagens injetem JavaScript malicioso por meio dos atributos Cor do texto e Cor do plano de fundo do bloco de pesquisa.

Descrição: Script entre sites armazenado autenticado por meio de bloco de imagem em destaque
Versões afetadas: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Investigador: N/A
ID CVE: Pendente
Pontuação CVSS: 6.4 (Médio)
Vetor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Versão totalmente corrigida:  6.0.3
Conjunto de alterações: https://core.trac.wordpress.org/changeset/54543