Source |
CVE Liste |
Identifiant |
8403613 |
Date de publication |
2023-10-31 14:15:12 (vue: 2023-10-31 17:07:49) |
Titre |
CVE-2023-4823 |
Texte |
Le plugin WP Meta et Date Remover WordPress avant 2.2.0 fournit un point de terminaison AJAX pour configurer les paramètres du plugin.Ce point de terminaison n'a pas de vérification de capacité et ne désinfecte pas l'entrée de l'utilisateur, qui est ensuite ultérieure à la sortie non basse.Permettre à tous les utilisateurs authentifiés, comme les abonnés, les modifiez et effectuez des scripts inter-sites stockés.
The WP Meta and Date Remover WordPress plugin before 2.2.0 provides an AJAX endpoint for configuring the plugin settings. This endpoint has no capability checks and does not sanitize the user input, which is then later output unescaped. Allowing any authenticated users, such as subscriber change them and perform Stored Cross-Site Scripting. |
Envoyé |
Oui |
Condensat |
2023 4823 ajax allowing any authenticated before capability change checks configuring cross cve date does endpoint has input later meta not output perform plugin provides remover sanitize scripting settings site stored subscriber such them then unescaped user users which wordpress |
Tags |
|
Stories |
|
Notes |
|
Move |
|