Skip to main content
CVE-2023-49157

CVE-2023-49157: WP Plugins Multiple Post Passwords <= 1.1.1 - Authenticated (Administrator+) Stored Cross-Site Scripting

Security Researcher bernama DoYeon Park (p6rkdoye0n) menemukan kerentanan Cross Site Scripting (XSS) pada WordPress Plugins Multiple Post Passwords (CVE-2023-49157) melalui pengaturan admin di semua versi hingga, dan termasuk, 1.1.1 karena input sanitization and output escaping yang tidak memadai.

Hal ini memungkinkan penyerang yang terautentikasi dengan role administrator untuk melakukan injeksi malicious script ke dalam halaman yang akan dijalankan setiap kali pengguna mengakses halaman yang diinjeksi.

Bisa dilihat pada file: multiple-post-passwords/admin/settings-page.php

Dimana ada variable data dan array field yang tidak dilakukan escaping, sehingga memungkinkan attacker melakukan injeksi pada inputan tersebut.

Developer melakukan perbaikan dengan menambahkan escaping menggunakan fungsi esc_textarea() dan esc_atr() pada variable data dan array field

Referensi:

Affected software package

Software URL

Patched?

Yes

Remediation

Update to version 1.1.2, or a newer patched version

Affected Version

<= 1.1.1

Patched Version

1.1.2

See Also  PT KAI Indonesia Mengalami Serangan Cyber dari STORMOUS, Dikhawatirkan Terjadi Pelanggaran Data

Leave a Reply

Your email address will not be published. Required fields are marked *