CVE-2021-24298

Simple Giveaways < 2.36.2 - Unauthenticated Reflected Cross-Site Scripting (XSS)

EPSS 3.5%CWE-79

Vexday Risk Score

18Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 3.5%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

24 mai 2021Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The method and share GET parameters of the Giveaway pages were not sanitised, validated or escaped before being output back in the pages, thus leading to reflected XSS

Produtos afetados

Igor Benic · Simple Giveaways – Grow your business, email lists and traffic with contests

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://codevigilant.com/disclosure/2021/wp-plugin-giveasap-xss/https://wpscan.com/vulnerability/30aebded-3eb3-4dda-90b5-12de5e622c91