Guido Iván García

Nome do software vulnerável e versões afetadas: Plugin Cost Calculator Builder para versões do WordPress até a 3.2.12, inclusive Descrição: A vulnerabilidade decorre de uma sanitização insuficiente de entradas e de uma escapagem insuficiente de saídas, permitindo que invasores autenticados com acesso de nível de administrador ou superior injetem scripts web arbitrários por meio do parâmetro `textarea.description`. Isso possibilita a execução dos scripts injetados sempre que um usuário acessar uma página afetada. Recomendações: Para versões até a 3.2.12, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saídas, a fim de prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao parâmetro `textarea.description` para minimizar o risco de exploração.