Christie Boutier

**Nome do Software Vulnerável e Versões Afetadas** wpForo + wpForo Advanced Attachments versões até a 3.1.3 inclusive **Descrição** A questão está relacionada ao Cross-Site Scripting (XSS) Armazenado via nomes de upload de mídia, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível Personalizado ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página onde o script foi injetado. **Recomendações** Para versões até a 3.1.3 inclusive, atualize para uma versão superior à 3.1.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de upload de mídia para minimizar o risco de exploração. Além disso, restrinja o uso de acesso de nível Personalizado ou superior para reduzir o potencial de injeção de scripts web arbitrários.