Emil Kylander

**Nome do software vulnerável e versões afetadas** Versões do plugin LiteSpeed Cache para WordPress anteriores à 4.4.4 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro `qc res` não é escapado corretamente antes de ser exibido no código JavaScript de uma página de administração. Isso permite a injeção de scripts maliciosos. **Recomendações** Para versões anteriores à 4.4.4, atualize para a versão 4.4.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de administração onde o parâmetro `qc res` é usado até que um patch seja aplicado. Evite usar o parâmetro `qc res` no código JavaScript afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin LiteSpeed Cache para WordPress anteriores à 4.4.4 **Descrição** O problema decorre do fato de o plugin não verificar adequadamente as solicitações provenientes dos servidores QUIC.cloud, permitindo que invasores enviem solicitações a determinados endpoints utilizando um valor específico no cabeçalho `X-Forwarded-For`. Além disso, um endpoint pode ser usado para definir código CSS se uma configuração estiver ativada, o que será então exibido em algumas páginas sem ser sanitizado e escapado. Isso pode ser explorado por um invasor não autenticado para inserir cargas de Cross-Site Scripting nas páginas visitadas pelos usuários. **Recomendações** Para versões anteriores à 4.4.4, atualize para a versão 4.4.4 ou posterior para resolver o problema. Como solução temporária, considere desativar a configuração que permite a injeção de código CSS até que um patch esteja disponível. Restrinja o acesso aos endpoints vulneráveis para minimizar o risco de exploração. Evite usar o valor do cabeçalho `X-Forwarded-For` nos endpoints da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin Maintenance para WordPress anteriores à 4.03 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, injetem código malicioso de tipo Cross-Site Scripting (XSS) em algumas configurações do plugin, mesmo quando a função `unfiltered html` está desativada. Esse código malicioso será executado na interface do usuário. **Recomendações** Para versões do plugin Maintenance para WordPress anteriores à 4.03, atualize para a versão 4.03 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para usuários com privilégios elevados até que a atualização seja aplicada.