Vulnerabilidad en complemento AMP for WP – Accelerated Mobile Pages para WordPress (CVE-2024-6896)
Severidad:
MEDIA
Type:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/07/2024
Última modificación:
24/07/2024
Descripción
El complemento AMP for WP – Accelerated Mobile Pages para WordPress es vulnerable a Cross Site Scripting almacenado a través de cargas de archivos SVG en todas las versiones hasta la 1.0.96.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Impacto
Puntuación base 3.x
6.40
Severidad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/accelerated-mobile-pages/tags/1.0.96.1/templates/features.php#L7159
- https://plugins.trac.wordpress.org/changeset/3123278/
- https://wordpress.org/plugins/accelerated-mobile-pages/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/b0a5fdb9-4e36-43ce-88ce-cd75bb1d1e25?source=cve