SeguridadWordPress.es

Recopilación de vulnerabilidades WordPress.

Custom post types, Custom Fields & more <= 5.0.4 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+)

La vulnerabilidad CVE-2023-6993 afecta al plugin Custom post types, Custom Fields & more para WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas del sitio.

La falta de saneamiento de entradas y escape de salida en los valores de metadatos de las entradas personalizadas permite a un atacante autenticado aprovechar la vulnerabilidad para ejecutar scripts web arbitrarios en páginas del sitio. Esta vulnerabilidad afecta a todas las versiones anteriores a la 5.0.4 del plugin.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Custom post types, Custom Fields & more a la última versión disponible y verificar las entradas personalizadas y metadatos en busca de contenido malicioso.

Related Article