2 results (0.005 seconds)

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

The Hustle (aka wordpress-popup) plugin through 6.0.5 for WordPress allows Directory Traversal to obtain a directory listing via the views/admin/dashboard/ URI. El plugin Hustle (también se conoce como wordpress-popup) versiones hasta 6.0.5 para WordPress, permite a Salto de Directorio para obtener una lista de directorios por medio del URI views/admin/dashboard/. • https://pastebin.com/ndDJT3d3 https://wordpress.org/plugins/wordpress-popup/#developers • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2

The Hustle (aka wordpress-popup) plugin 6.0.7 for WordPress is vulnerable to CSV Injection as it allows for injecting malicious code into a pop-up window. Successful exploitation grants an attacker with a right to execute malicious code on the administrator's computer through Excel functions as the plugin does not sanitize the user's input and allows insertion of any text. El complemento de Hustle (conocido como wordpress-popup) versión 6.0.7 para WordPress es vulnerable a la inyección de CSV, ya que permite inyectar códigos maliciosos en una ventana emergente. La explotación exitosa concede a un atacante el derecho de ejecutar códigos maliciosos en la computadora del administrador mediante funciones de Excel, ya que el complemento no realiza el saneamiento de la entrada del usuario y permite la inserción de cualquier texto. • https://blog.reddy.io/2019/05/24/reddy-solutions-found-a-csv-injection-vulnerability-in-hustle-wordpress-plugin https://blog.reddy.io/category/cybersecurity https://wordpress.org/plugins/wordpress-popup/#developers https://wpvulndb.com/vulnerabilities/9326 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-1236: Improper Neutralization of Formula Elements in a CSV File •