Vulnerabilidad en Gallery Blocks with Lightbox. Image Gallery, (HTML5 video , YouTube, Vimeo) Video Gallery and Lightbox for native gallery para WordPress (CVE-2024-5424)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
28/06/2024
Última modificación:
28/06/2024
Descripción
El complemento Gallery Blocks with Lightbox. Image Gallery, (HTML5 video , YouTube, Vimeo) Video Gallery and Lightbox for native gallery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros 'galleryID' y 'className' en todas las versiones hasta la 3.2.1 incluida debido a una sanitización insuficiente de los insumos y al escape de los productos. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Severidad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/simply-gallery-block/trunk/blocks/init.php#L127
- https://plugins.trac.wordpress.org/browser/simply-gallery-block/trunk/blocks/init.php#L132
- https://plugins.trac.wordpress.org/browser/simply-gallery-block/trunk/blocks/init.php#L70
- https://plugins.trac.wordpress.org/changeset/3107152/simply-gallery-block/trunk/blocks/init.php
- https://wordpress.org/plugins/simply-gallery-block/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3e7bd708-2e82-4fef-85f2-bf4f56f66bc4?source=cve