Katalog CVE

CVE-2016-20084

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 15 - wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka WordPress appointment-booking-calendar w wersji 1.1.24 zawiera wiele podatności umożliwiających eskalację uprawnień, które pozwalają nieautoryzowanym atakującym na modyfikację ustawień kalendarza oraz wstrzykiwanie trwałych ładunków XSS poprzez parametry strony admin.php.

Ocena ryzyka

Atakujący mogą wstrzykiwać złośliwy kod JavaScript, co prowadzi do wykonania dowolnych skryptów w interfejsie administracyjnym, co może skutkować kradzieżą danych lub przejęciem kontroli nad kontem administratora.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeglądanie i zabezpieczanie parametrów przekazywanych w żądaniach GET.

Oryginalny opis (angielski, źródło NVD)

WordPress appointment-booking-calendar 1.1.24 contains multiple privilege escalation vulnerabilities that allow unauthenticated attackers to modify calendar settings and inject persistent cross-site scripting payloads through the admin.php page parameters. Attackers can inject malicious JavaScript into the 'ict' and 'ics' options or the calendar 'name' parameter via GET requests to execute arbitrary scripts when the calendar is displayed or accessed in the administration interface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS