CVE-2021-24581
Blue Admin <= 21.06.01 - CSRF to Stored Cross-Site Scripting (XSS)
Em resumo
O plugin Blue Admin do WordPress permite que atacantes injetem código malicioso através da configuração 'Logo Title' sem proteção adequada. Um atacante pode enganar um administrador do site para salvar código prejudicial que será executado nos navegadores de todos os visitantes.
Detalhe técnico
O plugin não implementa proteção CSRF (CWE-352) no endpoint de salvamento de configurações e não sanitiza o parâmetro 'Logo Title' antes de exibir na página (CWE-79). Um atacante não autenticado pode criar uma página maliciosa que, quando visitada por um admin autenticado, submete uma requisição forjada para injetar e armazenar JavaScript executado nos navegadores dos visitantes.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Blue Admin WordPress plugin through 21.06.01 does not sanitise or escape its "Logo Title" setting before outputting in a page, leading to a Stored Cross-Site Scripting issue. Furthermore, the plugin does not have CSRF check in place when saving its settings, allowing the issue to be exploited via a CSRF attack.
Produtos afetados
Unknown · Blue AdminPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/50925não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →