VDB-227950 · CVE-2017-20183 · GCVE-100-227950

External Media without Import Plugin até 1.0.0 em WordPress external-media-without-import.php print_media_new_panel url/error/width/height/mime-type Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.3	$0-$5k	0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como problemático em External Media without Import Plugin até 1.0.0 no WordPress. Afetado é a função print_media_new_panel do arquivo external-media-without-import.php. A utilização do parâmetro url/error/width/height/mime-type pode causar Script de Site Cruzado. Esta vulnerabilidade é conhecida como CVE-2017-20183. O ataque pode ser realizado remotamente. Não existe exploit disponível. É recomendado que o componente afetado seja atualizado.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como problemático em External Media without Import Plugin até 1.0.0 no WordPress. Afetado é a função print_media_new_panel do arquivo external-media-without-import.php. A utilização do parâmetro url/error/width/height/mime-type pode causar Script de Site Cruzado. A definição de CWE para a vulnerabilidade é CWE-79. A falha foi publicada 15/10/2017 como 9d2ecd159a6e2e3f710b4f1c28e2714f66502746. O comunicado está disponível para download em github.com.

Esta vulnerabilidade é conhecida como CVE-2017-20183. O ataque pode ser realizado remotamente. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projeto MITRE ATT&CK reconhece a técnica de ataque como T1059.007.

Foi declarado como não definido. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k.

Fazer upgrade para a versão 1.0.1 pode mitigar este problema. A nova versão pode ser baixada em github.com. O nome da correção é 9d2ecd159a6e2e3f710b4f1c28e2714f66502746. A correção está pronta para download em github.com. É recomendado que o componente afetado seja atualizado. O aviso inclui o seguinte comentário:

Fixed XSS Security Vulnerabilities and bug with mime types including '+'.

Produtoinformação

Tipo

WordPress Plugin

Nome

External Media without Import Plugin

Versão

Licença

código aberto

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 4.4
VulDB Meta Pontuação Temporária: 4.3

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 6.1
NVD Vetor: 🔍

CNA Pontuação Base: 3.5
CNA Vetor (VulDB): 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍