Source |
CVE Liste |
Identifiant |
8406890 |
Date de publication |
2023-11-06 21:15:10 (vue: 2023-11-06 23:10:24) |
Titre |
CVE-2023-5530 |
Texte |
Le plugin WordPress du formulaire Ninja Forms Forms avant 3.6.34 ne désinfecte pas et n'échappe pas à ses champs d'étiquette, ce qui pourrait permettre aux utilisateurs de privilèges élevés tels que l'administrateur pour effectuer des attaques XSS stockées.Seuls les utilisateurs ayant la capacité non filtrée_html peuvent effectuer cela, et ces utilisateurs sont déjà autorisés à utiliser JS dans des publications / commentaires, etc., mais le fournisseur a reconnu et résolu le problème
The Ninja Forms Contact Form WordPress plugin before 3.6.34 does not sanitize and escape its label fields, which could allow high privilege users such as admin to perform Stored XSS attacks. Only users with the unfiltered_html capability can perform this, and such users are already allowed to use JS in posts/comments etc however the vendor acknowledged and fixed the issue |
Envoyé |
Oui |
Condensat |
2023 5530 acknowledged admin allow allowed already are attacks before can capability contact could cve does escape etc fields fixed form forms high however html issue its label ninja not only perform plugin posts/comments privilege sanitize stored such unfiltered use users vendor which wordpress xss |
Tags |
|
Stories |
|
Notes |
|
Move |
|