CVE-2022-0765

Loco Translate < 2.6.1 - Authenticated Stored Cross-Site Scripting

EPSS 4.0%CWE-79

Vexday Risk Score

18Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 4.0%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

18 abr 2022Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The Loco Translate WordPress plugin before 2.6.1 does not properly remove inline events from elements in the source translation strings before outputting them in the editor in the plugin admin panel, allowing any user with access to the plugin (Translator and Administrator by default) to add arbitrary javascript payloads to the source strings leading to a stored cross-site scripting (XSS) vulnerability.

Produtos afetados

Unknown · Loco Translate

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wpscan.com/vulnerability/58838f51-323d-41e0-8c85-8e113dc2c587