David Suho Lee

**Nome do software vulnerável e versões afetadas** As versões do plugin WP Custom Cursors | WordPress Cursor até a 3.2 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade unfiltered html está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões até a 3.2, como solução temporária, considere desativar o plugin até que um patch esteja disponível. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar o plugin em configurações multisite onde a capacidade unfiltered html esteja desativada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** WP Crowdfunding WordPress plugin versions prior to 2.1.8 **Description** The issue allows high privilege users, such as admins, to perform Stored Cross-Site Scripting attacks, even when the unfiltered html capability is disallowed, for example, in multisite setups. This is due to the plugin not sanitizing and escaping some of its settings. **Recommendations** For versions prior to 2.1.8, update to version 2.1.8 or later to resolve the issue. As a temporary workaround, consider restricting the use of the plugin's settings to minimize the risk of exploitation.