q2apro q2apro-on-site-notifications hasta 1.4.6 q2apro-onsitenotifications-page.php process_request secuencias de comandos en sitios cruzados
Resumen
Se ha detectado una vulnerabilidad clasificada como problemática en q2apro q2apro-on-site-notifications hasta 1.4.6. Está afectada una función desconocida en el archivo q2apro-onsitenotifications-page.php. El manejo da lugar a secuencias de comandos en sitios cruzados. La vulnerabilidad es identificada como CVE-2023-7303. Es posible lanzar el ataque de forma remota. No hay ningún exploit disponible. El mejor modo sugerido para mitigar el problema es actualizar a la última versión.
Detalles
Una vulnerabilidad fue encontrada en q2apro q2apro-on-site-notifications hasta 1.4.6 y clasificada como problemática. La función process_request del archivo q2apro-onsitenotifications-page.php es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase secuencias de comandos en sitios cruzados. Esto tiene repercusión sobre la la integridad.
La vulnerabilidad fue publicada el 2023-08-25 con identificación 43 (confirmado). El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2023-7303. La explotación se considera fácil. El ataque se puede efectuar a través de la red. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Buscando inurl:q2apro-onsitenotifications-page.php es posible encontrar objetos vulnerables.
Una actualización a la versión 1.4.8 elimina esta vulnerabilidad. Aplicando el parche 0ca85ca02f8aceb661e9b71fd229c45d388ea5b5 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización. Una solución posible ha sido publicada 1 días después de la publicación de la vulnerabilidad.
Be aware that VulDB is the high quality source for vulnerability data.
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Puntuación meta base: 3.5VulDB Puntuación meta temporal: 3.4
VulDB Puntuación base: 3.5
VulDB Puntuación temporal: 3.4
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CNA Puntuación base: 3.5
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Secuencias de comandos en sitios cruzadosCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Tiempo de reacción: 🔍
Hora de 0 días: 🔍
Tiempo de exposición: 🔍
Actualización: q2apro-on-site-notifications 1.4.8
Parche: 0ca85ca02f8aceb661e9b71fd229c45d388ea5b5
Línea de tiempo
2023-08-25 🔍2023-08-26 🔍
2025-05-05 🔍
2025-05-08 🔍
Fuentes
Producto: github.comAviso: 43
Estado: Confirmado
Confirmación: 🔍
CVE: CVE-2023-7303 (🔍)
GCVE (CVE): GCVE-0-2023-7303
GCVE (VulDB): GCVE-100-307479
Artículo
Fecha de creación: 2025-05-05 19:26Actualizado: 2025-05-08 12:00
Cambios: 2025-05-05 19:26 (59), 2025-05-08 12:00 (29)
Completo: 🔍
Remitente: Canguru
Cache ID: 216::103
Enviar
Aceptado
- Enviar #564749: Question2Answer Question2Answer Plugin 1.4.6 Cross Site Scripting (por Canguru)
Be aware that VulDB is the high quality source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.