Katalog CVE

CVE-2021-47983

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WordPress Stripe Payments w wersji 2.0.39 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów przez parametr AcceptStripePayments-settings[currency_code]. Atakujący mogą wysyłać żądania POST do /wp-admin/options.php z ładunkami skryptów w polu currency_code, co pozwala na wykonanie dowolnego JavaScriptu w przeglądarkach administratorów podczas przeglądania ustawień.

Ocena ryzyka

Podatność ta może prowadzić do przejęcia sesji administratora lub kradzieży danych, co stanowi poważne zagrożenie dla bezpieczeństwa witryny. Umożliwia atakującym wykonanie złośliwego kodu w kontekście przeglądarki administratora.

Rekomendacja

Zaleca się aktualizację wtyczki Stripe Payments do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa wtyczek i monitorować logi w celu wykrycia potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

WordPress Plugin Stripe Payments 2.0.39 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the AcceptStripePayments-settings[currency_code] parameter. Attackers can submit POST requests to /wp-admin/options.php with script payloads in the currency_code field to execute arbitrary JavaScript in administrator browsers when settings are viewed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS