Уязвимость модуля «Avatar» («Аватар») системы управления содержимым сайта WordPress связана с непринятием мер по защите структуры веб-страницы при обработке параметров comment_author и author_name в результате некорректного выполнения последовательности функций. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение или удаление данных и провести атаку межсайтового скриптинга (XSS)
Использование рекомендаций:
https://wordpress.org/news/2024/04/wordpress-6-5-2-maintenance-and-security-release/
https://core.trac.wordpress.org/changeset/57951/branches/6.4/src/wp-includes/blocks/avatar.php
https://core.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=57950%40%2F&new=57950%40%2F&sfp_email=&sfph_mail=#file3
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-core/wordpress-core-652-authenticated-contributor-stored-cross-site-scripting-via-avatar-block?asset_slug=wordpress
| Балл | 6.4 — высокая опасность |