CVE-2021-25078

Affiliates Manager < 2.9.0 - Unauthenticated Stored Cross-Site Scripting

EPSS 2.3%CWE-79

Vexday Risk Score

18Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 2.3%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

24 jan 2022Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The Affiliates Manager WordPress plugin before 2.9.0 does not validate, sanitise and escape the IP address of requests logged by the click tracking feature, allowing unauthenticated attackers to perform Cross-Site Scripting attacks against admin viewing the tracked requests.

Produtos afetados

Unknown · Affiliates Manager

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://plugins.trac.wordpress.org/changeset/2648196 https://wpscan.com/vulnerability/d4edb5f2-aa1b-4e2d-abb4-76c46def6c6e