CVE-2023-7027


2024. január 12. 10:29

WPExperts Post SMTP for WordPress sérülékenysége
Angol cím: WPExperts Post SMTP for WordPress vulnerability

Publikálás dátuma: 2024.01.03.
Utolsó módosítás dátuma: 2024.01.11.

Leírás

Cross-Site Scripting (XSS): A program nem, vagy nem megfelelően szűri a felhasználó által megadott bemeneti adatokat, mielőtt azt átadná más felhasználókat kiszolgáló weblap részére.

Leírás forrása: CWE-79

Elemzés leírás

Eredeti nyelven: The POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP for WordPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘device’ header in all versions up to, and including, 2.8.7 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Elemzés leírás forrása: CVE-2023-7027

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 5.4 (Közepes)
Vector: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Impact Score: 2.7
Exploitability Score: 2.3

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): Required
Scope (S): Changed
Confidentiality Impact (C): Low
Integrity Impact (I): Low
Availability Impact (A): None

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

packetstormsecurity.com
plugins.trac.wordpress.org
plugins.trac.wordpress.org
plugins.trac.wordpress.org
www.wordfence.com

Sérülékeny szoftverek

WPExperts Post SMTP for WordPress 2.8.8 előttig

Címkék

WordPress

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »