ГлавнаяБаза уязвимостей БДУ → BDU:2024-03714
6.4высокая

BDU:2024-03714 (CVE-2024-4439)

Уязвимость модуля «Avatar» («Аватар») системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных и провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2024-05-15
Описание

Уязвимость модуля «Avatar» («Аватар») системы управления содержимым сайта WordPress связана с непринятием мер по защите структуры веб-страницы при обработке параметров comment_author и author_name в результате некорректного выполнения последовательности функций. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение или удаление данных и провести атаку межсайтового скриптинга (XSS)

Затрагиваемое ПО и версии
WordPress (6.5.0)WordPress (6.5.1)WordPress (от 6.4.0 до 6.4.3 включительно)WordPress (от 6.3.0 до 6.3.3 включительно)WordPress (от 6.2.0 до 6.2.4 включительно)WordPress (от 6.1.0 до 6.1.5 включительно)WordPress (от 6.0.0 до 6.0.7 включительно)
Способ устранения

Использование рекомендаций:
https://wordpress.org/news/2024/04/wordpress-6-5-2-maintenance-and-security-release/
https://core.trac.wordpress.org/changeset/57951/branches/6.4/src/wp-includes/blocks/avatar.php
https://core.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=57950%40%2F&new=57950%40%2F&sfp_email=&sfph_mail=#file3
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-core/wordpress-core-652-authenticated-contributor-stored-cross-site-scripting-via-avatar-block?asset_slug=wordpress

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://core.trac.wordpress.org/changeset/57951/branches/6.4/src/wp-includes/blocks/avatar.phphttps://core.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=57950%40%2F&new=57950%40%2F&sfp_email=&sfph_mail=#file3https://wordpress.org/news/2024/04/wordpress-6-5-2-maintenance-and-security-release/https://www.wordfence.com/blog/2024/04/unauthenticated-stored-cross-site-scripting-vulnerability-patched-in-wordpress-core/https://www.wordfence.com/threat-intel/vulnerabilities/id/e363c09a-4381-4b3a-951c-9a0ff5669016?source=cvehttps://github.com/d0rb/CVE-2024-4439https://wordpress.org/documentation/article/avatar-block/
Проверьте безопасность своего сайта и почты → Полная проверка домена