Плагин WordPress adivaha Travel 2.3 содержит отраженную уязвимость межсайтового скриптинга, которая позволяет неаутентифицированным злоумышленникам внедрять вредоносные скрипты, манипулируя параметром isMobile. Злоумышленники могут создавать вредоносные URL-адреса, содержащие полезные данные JavaScript в параметре isMobile GET в конечной точке /mobile-app/v3/, чтобы выполнять произвольный код в браузерах жертв и красть токены сеанса или учетные данные.
Показать оригинальное описание (EN)
WordPress adivaha Travel Plugin 2.3 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the isMobile parameter. Attackers can craft malicious URLs containing JavaScript payloads in the isMobile GET parameter at the /mobile-app/v3/ endpoint to execute arbitrary code in victims' browsers and steal session tokens or credentials.
Характеристики атаки
Последствия
Строка CVSS v4.0