Thanh Toan Quet Ma QR Code Tu Dong - MoMo, ViettelPay, VNPay va 40 ngan hang Viet Namにおける保存型クロスサイトスクリプティングが発生する脆弱性
| Title |
Thanh Toan Quet Ma QR Code Tu Dong - MoMo, ViettelPay, VNPay va 40 ngan hang Viet Namにおける保存型クロスサイトスクリプティングが発生する脆弱性
|
| Summary |
WordPress用プラグイン『Thanh Toan Quet Ma QR Code Tu Dong - MoMo, ViettelPay, VNPay va 40 ngan hang Viet Nam』には、wp_kses_allowed_html関数の誤った使用により、バージョン2.0.1を含むすべてのバージョンで保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。この誤用によって、特定のHTML要素に対して十分な制限やコンテキスト検証を行わずに'onclick'属性を許可してしまっています。その結果、認証されていない攻撃者が任意のWebスクリプトをページに注入でき、ユーザーが注入されたページにアクセスするたびにそのスクリプトが実行される可能性があります。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Sept. 25, 2024, midnight |
| Registration Date |
Jan. 6, 2026, 10:55 a.m. |
| Last Update |
Jan. 6, 2026, 10:55 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.5
|
| Vector |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Affected System
| WordPress.org |
|
Thanh Toan Quet Ma QR Code Tu Dong 2.0.1 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年01月06日]
掲載 |
Jan. 6, 2026, 10:55 a.m. |
NVD Vulnerability Information
CVE-2024-8914
| Summary |
The Thanh Toán Quét Mã QR Code Tự Động – MoMo, ViettelPay, VNPay và 40 ngân hàng Việt Nam plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 2.0.1 due to incorrect use of the wp_kses_allowed_html function, which allows the 'onclick' attribute for certain HTML elements without sufficient restriction or context validation. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
|
| Summary |
El complemento Thanh Toán Quét Mã QR Code T? ??ng – MoMo, ViettelPay, VNPay y 40 ngân hàng Vi?t Nam para WordPress es vulnerable a Cross-Site Scripting Almacenado en todas las versiones hasta la 2.0.1 incluida debido al uso incorrecto de la función wp_kses_allowed_html, que permite el atributo 'onclick' para ciertos elementos HTML sin suficiente restricción o validación de contexto. Esto hace posible que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
|
| Publication Date |
Sept. 25, 2024, 10:15 a.m. |
| Registration Date |
Sept. 25, 2024, 4 p.m. |
| Last Update |
April 9, 2026, 3:22 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:wordpress:thanh_toan_quet_ma_qr_code_tu_dong:*:*:*:*:*:wordpress:*:* |
|
2.0.1 |
|
|
Related information, measures and tools
Common Vulnerabilities List