CVE-2021-24581
Blue Admin <= 21.06.01 - CSRF to Stored Cross-Site Scripting (XSS)
En resumen
El plugin Blue Admin de WordPress permite que atacantes inyecten código malicioso a través de la configuración 'Logo Title' sin protección adecuada. Un atacante puede engañar a un administrador del sitio para guardar código dañino que se ejecutará en los navegadores de todos los visitantes.
Detalle técnico
El plugin carece de protección CSRF (CWE-352) en el endpoint de guardado de configuraciones y no sanitiza el parámetro 'Logo Title' antes de mostrarlo en la página (CWE-79). Un atacante no autenticado puede crear una página maliciosa que, cuando la visita un admin autenticado, envía una solicitud falsificada para inyectar y almacenar JavaScript ejecutado en los navegadores de los visitantes.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Blue Admin WordPress plugin through 21.06.01 does not sanitise or escape its "Logo Title" setting before outputting in a page, leading to a Stored Cross-Site Scripting issue. Furthermore, the plugin does not have CSRF check in place when saving its settings, allowing the issue to be exploited via a CSRF attack.
Productos afectados
Unknown · Blue AdminPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/50925no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →