Source |
CVE Liste |
Identifiant |
8401271 |
Date de publication |
2023-10-27 04:15:10 (vue: 2023-10-27 06:09:55) |
Titre |
CVE-2023-5051 |
Texte |
Le plugin de suivi des appels téléphoniques Callrail pour WordPress est vulnérable aux scripts entre le site transversal via le raccourci \\ 'callrail_form \' dans les versions jusqu'à et incluant 0.5.2 en raison de la désinfection et de la sortie insuffisantes et des sorties sur le \\ '' insuffisantes sur le \\ 'Form_ID \\ 'Attribut fourni par l'utilisateur.Cela permet aux attaquants authentifiés avec un niveau de contributeur et des autorisations supérieures à injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The CallRail Phone Call Tracking plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the \'callrail_form\' shortcode in versions up to, and including, 0.5.2 due to insufficient input sanitization and output escaping on the \'form_id\' user supplied attribute. This makes it possible for authenticated attackers with contributor level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
Envoyé |
Oui |
Condensat |
2023 5051 above accesses arbitrary attackers attribute authenticated call callrail contributor cross cve due escaping execute form including inject injected input insufficient level makes output page pages permissions phone plugin possible sanitization scripting scripts shortcode site stored supplied tracking user versions vulnerable web whenever will wordpress |
Tags |
|
Stories |
|
Notes |
|
Move |
|