CVE-2021-24657

Limit Login Attempts < 4.0.50 - Unauthenticated Stored Cross-Site Scripting

EPSS 1.6%CWE-79

Vexday Risk Score

18Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 1.6%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

20 set 2021Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The Limit Login Attempts WordPress plugin before 4.0.50 does not escape the IP addresses (which can be controlled by attacker via headers such as X-Forwarded-For) of attempted logins before outputting them in the reports table, leading to an Unauthenticated Stored Cross-Site Scripting issue.

Produtos afetados

Unknown · Limit Login Attempts

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wpscan.com/vulnerability/c789ca04-d88c-4789-8be1-812888f0c8f8