CVE-2022-2709
متوسطة / Medium
CVSS 4,8
VULNERABILITY BRIEF
CVE-2022-2709
المصدر الرسمي: NVD
مستوى الخطورة
متوسطة (Medium)
درجة CVSS
4,8
حالة الاستغلال KEV
غير مدرجة حاليًا
تاريخ النشر
2022-09-19
وصف الثغرة
إضافة WordPress المسماة Float to Top Button حتى الإصدار 2.3.6 لا تقوم بتصفية بعض إعداداتها، مما قد يسمح للمستخدمين ذوي الصلاحيات العالية مثل المشرف بتنفيذ هجمات تخزين البرمجة النصية عبر المواقع (Stored Cross-Site Scripting) حتى عند تعطيل قدرة unfiltered_html (على سبيل المثال في بيئة متعددة المواقع).
الأثر المحتمل
يمكن استغلال هذه الثغرة من قبل المستخدمين ذوي الصلاحيات العالية لمهاجمة المواقع عن طريق حقن برمجة نصية خبيثة مخزنة تؤثر على سرية وتكامل المعلومات دون التسبب في انقطاع الخدمة.
التوصيات والمعالجة
ينصح بتحديث الإضافة إلى إصدار أحدث حيث تم التعامل مع الثغرة، واتباع أفضل الممارسات في إدارة الصلاحيات. راجع روابط المصدر الرسمية للمزيد من المعلومات.
حالة الاستغلال (KEV)
لا يوجد إدراج حاليًا في قائمة KEV.
المراجع الرسمية
English Technical Fields
Description: The Float to Top Button WordPress plugin through 2.3.6 does not escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N