CVE-2016-20084
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress appointment-booking-calendar w wersji 1.1.24 zawiera wiele podatności umożliwiających eskalację uprawnień, które pozwalają nieautoryzowanym atakującym na modyfikację ustawień kalendarza oraz wstrzykiwanie trwałych ładunków XSS poprzez parametry strony admin.php.
Ocena ryzyka
Atakujący mogą wstrzykiwać złośliwy kod JavaScript, co prowadzi do wykonania dowolnych skryptów w interfejsie administracyjnym, co może skutkować kradzieżą danych lub przejęciem kontroli nad kontem administratora.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeglądanie i zabezpieczanie parametrów przekazywanych w żądaniach GET.
Oryginalny opis (angielski, źródło NVD)
WordPress appointment-booking-calendar 1.1.24 contains multiple privilege escalation vulnerabilities that allow unauthenticated attackers to modify calendar settings and inject persistent cross-site scripting payloads through the admin.php page parameters. Attackers can inject malicious JavaScript into the 'ict' and 'ics' options or the calendar 'name' parameter via GET requests to execute arbitrary scripts when the calendar is displayed or accessed in the administration interface.

