Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-39356

Vulnerabilidad en varios parámetros en el archivo ~/templates/settings.php en el plugin Content Staging de WordPress (CVE-2021-39356)

Tipo: 
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Gravedad: 
Baja
Fecha publicación : 
21/10/2021
Última modificación: 
27/10/2021
Descripción
El plugin Content Staging de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente de entradas y escapes por medio de varios parámetros que se hacen eco a través del archivo ~/templates/settings.php, que permite a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 2.0.1 incluyéndola. Esto afecta a las instalaciones multisitio en las que unfiltered_html está deshabilitado para los administradores, y los sitios en los que unfiltered_html está deshabilitado
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:content_staging_project:content_staging:*:*:*:*:*:wordpress:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos