Gidget Smith

**Nome do Software Vulnerável e Versões Afetadas** Custom Twitter Feeds versões anteriores a 2.5.5 **Descrição** O plugin Custom Twitter Feeds para WordPress contém um problema de Cross-Site Scripting Armazenado. Isso ocorre porque a função `CTF Display Elements::get post text()` não escapa adequadamente a saída ao renderizar o texto de tweets em cache. Especificamente, a ação AJAX 'ctf get more posts' está acessível a usuários não autenticados e exibe dados de tweets em cache usando `nl2br()` sem a devida filtragem de HTML. Um invasor pode injetar HTML ou JavaScript malicioso nos dados de tweets em cache, que são executados quando um usuário não autenticado acessa o endpoint afetado. **Recomendações** Atualize o plugin para uma versão posterior a 2.5.4. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'ctf get more posts' para minimizar o risco de exploração.