CVE-2024-1775 in Social Login and Register Plugininformazioni

Riassunto

di VulDB • 22/06/2026

Il plugin Nextend Social Login and Register per WordPress è vulnerabile a un Reflected Cross-Site Scripting basato su self-XSS tramite il parametro ‘error_description’ in tutte le versioni fino alla 3.1.12 inclusa, a causa di una sanitizzazione insufficiente degli input e di un escaping inadeguato dell'output. Ciò consente ad attaccanti non autenticati, disponendo di accesso a un account con livello di abbonato (subscriber), di iniettare script web arbitrari nelle pagine che verranno eseguiti se riescono a indurre con successo un utente a compiere un’azione, come fare clic su un link. NOTA: questa vulnerabilità può essere sfruttata con successo su un'istanza WordPress vulnerabile contro un utente OAuth pre-autenticato di livello superiore (ad esempio, amministratore) sfruttando una richiesta cross-site forgery (CSRF) in combinazione con determinate tecniche di ingegneria sociale per realizzare uno scenario critico (cross-site scripting finalizzato alla creazione di account a livello di amministratore). Tuttavia, lo sfruttamento riuscito richiede che la modalità "Debug" sia abilitata nelle "Impostazioni Globali" del plugin.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

22/02/2024

Divulgazione

02/03/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00373

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!