Dmitry Ingatyev

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin MailPoet para WordPress anteriores à 5.5.2 Descrição: Esta falha permite que usuários com privilégios elevados, como administradores, executem ataques de Cross-Site Scripting (XSS) Armazenado. Isso pode ocorrer mesmo quando a capacidade unfiltered html estiver desabilitada, por exemplo, em uma configuração multisite. O problema surge porque algumas configurações não são devidamente sanitizadas e escapadas. Recomendações: Para versões anteriores à 5.5.2, atualize para a versão 5.5.2 ou posterior para corrigir o problema.

**Name of the Vulnerable Software and Affected Versions** The Form Maker by 10Web WordPress plugin versions prior to 1.15.31 **Description** The issue allows high privilege users, such as admin, to perform Stored Cross-Site Scripting attacks even when the unfiltered html capability is disallowed, for example in multisite setup. This is due to the plugin not sanitising and escaping some of its settings. **Recommendations** For versions prior to 1.15.31, update to version 1.15.31 or later to resolve the issue. As a temporary workaround, consider restricting the use of the plugin's settings to minimize the risk of exploitation.