CVE-2016-20066
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
WordPress CP Polls w wersji 1.0.8 zawiera podatność na trwałe ataki typu cross-site scripting, umożliwiającą atakującym wstrzykiwanie złośliwych skryptów poprzez niesanitizowaną funkcjonalność przesyłania plików. Atakujący mogą przesyłać pliki zawierające ładunki skryptowe z atrybutami obsługi zdarzeń, co pozwala na wykonanie dowolnego JavaScriptu w przeglądarkach użytkowników przeglądających zainfekowaną treść.
Ocena ryzyka
Podatność ta stwarza ryzyko wykonania złośliwego kodu w przeglądarkach użytkowników, co może prowadzić do kradzieży danych lub przejęcia sesji. Organizacje korzystające z tej wtyczki są narażone na ataki, które mogą wpłynąć na ich reputację oraz bezpieczeństwo danych.
Rekomendacja
Zaleca się aktualizację wtyczki CP Polls do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy filtracji i walidacji przesyłanych plików, aby zminimalizować ryzyko ataków XSS.
Oryginalny opis (angielski, źródło NVD)
WordPress CP Polls 1.0.8 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts through unsanitized file upload functionality. Attackers can upload files containing script payloads with event handlers like onerror attributes to execute arbitrary JavaScript in the browsers of users viewing the affected content.

