ГлавнаяБаза уязвимостей БДУ → BDU:2023-07220
7.5высокая

BDU:2023-07220 (CVE-2022-0165)

Уязвимость сценария admin-ajax.php плагина для создания страниц Page Builder: KingComposer системы управления содержимым сайта WordPress, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
Опубликовано: 2023-10-28
Описание

Уязвимость сценария admin-ajax.php плагина для создания страниц Page Builder: KingComposer системы управления содержимым сайта WordPress связана с использованием открытой переадресации при обработке значения параметра kc_get_thumbn. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на произвольный URL-адрес

Затрагиваемое ПО и версии
Page Builder: KingComposer (до 2.9.6 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/projectdiscovery/nuclei-templates/commit/412a5f5ecddfc789d99577f66907aa929572e337
https://github.com/projectdiscovery/nuclei-templates/pull/4305

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://wordpress.org/support/topic/page-builder-kingcomposer-2-9-6-open-redirect/https://wpscan.com/vulnerability/906d0c31-370e-46b4-af1f-e52fbddd00cb/https://github.com/K3ysTr0K3R/CVE-2022-0165-EXPLOIThttps://github.com/projectdiscovery/nuclei-templates/issues/4284https://github.com/projectdiscovery/nuclei-templates/commit/412a5f5ecddfc789d99577f66907aa929572e337
Проверьте безопасность своего сайта и почты → Полная проверка домена