Security Researcher bernama DoYeon Park (p6rkdoye0n) menemukan kerentanan Cross Site Scripting (XSS) pada WordPress Plugins Multiple Post Passwords (CVE-2023-49157) melalui pengaturan admin di semua versi hingga, dan termasuk, 1.1.1 karena input sanitization and output escaping yang tidak memadai.
Hal ini memungkinkan penyerang yang terautentikasi dengan role administrator untuk melakukan injeksi malicious script ke dalam halaman yang akan dijalankan setiap kali pengguna mengakses halaman yang diinjeksi.
Bisa dilihat pada file: multiple-post-passwords/admin/settings-page.php
Dimana ada variable data dan array field yang tidak dilakukan escaping, sehingga memungkinkan attacker melakukan injeksi pada inputan tersebut.
Developer melakukan perbaikan dengan menambahkan escaping menggunakan fungsi esc_textarea() dan esc_atr() pada variable data dan array field
Referensi:
Affected software package
Software URL | |
Patched? | Yes |
Remediation | Update to version 1.1.2, or a newer patched version |
Affected Version | <= 1.1.1 |
Patched Version | 1.1.2 |